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会 网 络 安全 性 工具 的 使 用 方法 。 
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高 等 学 校 教材 ' 计算 机 应 用 版 说 明 


改革 开放 以 来 ， 特 别 是 党 的 十 五 大 以 来 ， 我 国教 育 事业 取得 了 举世 嘱 目 的 辉煌 成 就 ， 高 
等 教育 实现 了 历史 性 的 跨越 ， 已 由 精英 教育 阶段 进入 国际 公认 的 大 众 化 教育 阶段 。 在 
质量 不 断 提高 的 基础 上 ， 高 等 教育 规模 取得 如 此 快速 的 发 展 ， 创 造 了 世界 教育 发 展 史 
上 的 奇迹 。 当 前 ， 教 育 工作 既 面临 着 千载难逢 的 良好 机 遇 ， 同 时 也 面临 着 前 所 未 有 的 
严峻 挑战 。 社 会 不 断 增长 的 高 等 教育 需求 同 教育 供给 特别 是 优质 教育 供给 不 足 的 矛盾 ， 
是 现 阶段 教育 发 展 面临 的 基本 了 矛盾 。 

教育 部 一 直 十 分 重视 高 等 教育 质量 工作 。2001 年 8 月 ， 教 育 部 下 发 了 《关于 加 强 
高 等 学 校本 科教 学 工作 ， 提 高 教学 质量 的 若干 意见 》 提出 了 十 二 条 加 强 本 科教 学 工作 
提高 教学 质量 的 措施 和 意见 。2003 年 6 月 和 2004 年 2 月 ， 教 育 部 分 别 下 发 了 《关于 
启动 高 等 学 校 教学 质量 与 教学 改革 工程 精品 课程 建设 工作 的 通知 》 和 《教育 部 实施 精 
品 课程 建设 提高 高 校 教学 质量 和 人 才 培 养 质 量 》 文 件 ， 指 出 “高 等 学 校 教学 质量 和 教 
学 改革 工程 ”是 教育 部 正在 制定 的 《2003 一 2007 年 教育 振兴 行动 计划 》 的 重要 组 成 部 
分 ， 精 品 课程 建设 是 “质量 工程 ”的 重要 内 容 之 一 。 教 育 部 计划 用 五 年 时 间 (2003 一 
2007 年 ) 建设 1500 门 国家 级 精品 课程 ， 利 用 现代 化 的 教育 信息 技术 手段 将 精品 课程 
的 相关 内 容 上 网 并 免费 开放 ， 以 实现 优质 教学 资源 共享 ， 提 高 高 等 学 校 教学 质量 和 人 
才 培 养 质量 。 

为 了 深入 贯彻 落实 教育 部 《关于 加 强 高 等 学 校本 科教 学 工作 ， 提 高 教学 质量 的 若 
干 意见 》 精 神 ， 紧 密 配 合 教育 部 已 经 启动 的 “高 等 学 校 教学 质量 与 教学 改革 工程 精品 
课程 建设 工作 ”在 有 关 专 家 、 教 授 的 倡议 和 有 关 部 门 的 大 力 支持 下 , 我们 组织 并 成 立 
了 “清华 大 学 出 版 社 教材 编审 委员 会 ”( 以 下 简称 “ 编 委 会 >”， 虽 在 配合 教育 部 制定 精 
品 课程 教材 的 出 版 规划 ,讨论 并 实施 精品 课程 教材 的 编写 与 出 版 工作 。“ 编 委 会 ”成 员 
皆 来 自 全国 各 类 高 等 学 校 教学 与 科研 第 一 线 的 骨干 教师 , 其 中 许多 教师 为 各 校 相关 院 、 
系 主管 教学 的 院 长 或 系 主任 。 

按照 教育 部 的 要 求 ,“ 编 委 会 ”一 致 认为 ， 精 品 课程 的 建设 工作 从 开始 就 要 坚持 高 
标准 、 严 要 求 ， 处 于 一 个 比较 高 的 起 点 上 ， 精 品 课程 教材 应 该 能 够 反映 各 高 校 教学 改 
革 与 课程 建设 的 需要 ， 要 有 特色 风格 、 有 创新 性 〈 新 体系 、 新 内 容 、 新 手段 、 新 思路 ， 
教材 的 内 容 体系 有 较 高 的 科学 创新 、 技 术 创新 和 理念 创新 的 含量 )、 先 进 性 〈 对 原 有 的 
学 科 体 系 有 实质 性 的 改革 和 发 展 、 顺 应 并 符合 新 世纪 教学 发 展 的 规律 、 代 表 并 引领 课 
程 发 展 的 趋势 和 方向 )、 示 范 性 (教材 所 体现 的 课程 体系 具有 较 广 泛 的 辐射 性 和 示范 性 ) 


和 一 定 的 前 瞻 性 。 教 材 由 个 人 申报 或 各 校 推荐 〈 通 过 所 在 高 校 的 “ 编 委 会 ”成员 推 荐 )， 经 
“ 编 委 会 ”认真 评审 ， 最 后 由 清华 大 学 出 版 社 审定 出 版 。 

目前 ， 针 对 计算 机 类 和 电子 信息 类 相关 专业 成 立 了 两 个 “ 编 委 会 >， 即 “清华 大 学 出 
版 社 计算 机 教材 编审 委员 会 ” 和 “清华 大 学 出 版 社 电子 信息 教材 编审 委员 会 ”。 首 批 推出 的 
特色 精品 教材 包括 : 

(1) 高 等 学 校 教材 。 计算 机 应 用 一 一 高 等 学 校 各 类 专业 ， 特 别 是 非 计 算 机 专业 的 计算 
机 应 用 类 教材 。 

(2) 高 等 学 校 教材 * 计算 机 科学 与 技术 一 一 高 等 学 校 计 算 机 相关 专业 的 教材 。 

(3) 高 等 学 校 教材 。 电子 信息 一 一 高 等 学 校 电子 信息 相关 专业 的 教材 。 

(4) 高 等 学 校 教材 软件 工程 一 一 高 等 学 校 软件 工程 相关 专业 的 教材 。 

(5) 高 等 学 校 教材 信息 管理 与 信息 系统 。 

(6) 高 等 学 校 教材 。 财经 管理 与 计算 机 应 用 。 


清华 大 学 出 版 社 经 过 20 多 年 的 努力 ， 在 教材 尤其 是 计算 机 和 电子 信息 类 专业 教材 出 
版 方面 树立 了 权威 品牌 ， 为 我 国 的 高 等 教育 事业 做 出 了 重要 贡献 。 清 华 版 教材 形成 了 技术 
准确 、 内 容 严 谨 的 独特 风格 ， 这 种 风格 将 延续 并 反映 在 特色 精品 教材 的 建设 中 。 
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在 信息 时 代 ， 信息 安全 越 来 越 重要 。 现 在 大 部 分 信息 都 是 通过 网 络 来 传播 ， 网 络 安全 成 
为 21 世纪 世界 十 大 热门 课题 之 一 。 网 络 安全 在 IT 业内 可 分 为 网 络 安全 硬件 、 网 络 安 
全 软件 和 网 络 安全 服务 。 网 络 安全 硬件 包括 防火 墙 和 VPN、 独 立 的 VPN、 入 侵 检测 系 
统 、 认 证 令 牌 和 卡 、 生 物 识别 系统 、 加 密 机 和 芯片 ; 网络 安全 软件 包括 安全 内 容 管理 、 
防火 墙 /VPN、 入 侵 检测 系统 、 安 全 3A、 加 密 ， 其 中 安全 内 容 管 理 还 有 防 病毒 、 网 络 
控制 和 邮件 扫描 ， 安 全 3A 包括 授权 、 认 证 和 管理 ; 网 络 安全 服务 包括 顾问 咨询 、 设 计 
实施 、 支 持 维护 、 教 育 培训 和 安全 管理 。 目 前 ， 随 着 因特网 的 日 益 普及 ， 网 络 安全 正 
在 成 为 人 们 关注 的 焦点 。 而 要 保证 网 络 安全 就 必须 对 网 络 进行 安全 的 管理 。 
全 书 分 为 10 章 ， 第 1 章 讲述 了 网 络 安全 的 基础 知识 。 第 2 章 详细 地 讲述 了 加 密 技 
术 ， 加 密 技术 作为 一 种 主动 的 防卫 手段 ， 是 网 络 安全 最 有 效 的 技术 之 一 。 一 个 加 密 网 
络 ， 不 但 可 以 防止 非 授权 用 户 的 搭 线 窍 听 和 入 网 ， 而 且 也 是 对 付 恶 意 软件 的 有 效 方法 。 
第 3 一 第 $ 章 分 别 对 当前 流行 的 操作 系统 Windows NT、Windows Server 2003 和 Linux 
的 安全 管理 进行 了 详细 的 分 析 和 四 述 。 信 息 安全 对 今天 的 网 络 系统 来 说 ， 是 一 个 非常 
重要 又 非常 严重 的 问题 ， 它 涉及 从 硬件 到 软件 、 从 单机 到 网 络 的 各 个 方面 的 安全 性 机 
制 。 而 网 络 操作 系统 的 安全 性 是 整个 网 络 系 统 安 全 体系 中 的 基础 环节 ， 所 以 对 网 络 操 
作 系 统 的 安全 配置 是 极其 重要 的 。 第 6 章 详 细 地 介绍 了 路 由 器 的 安全 管理 ， 因 为 在 目 
前 的 网 络 体系 中 ， 路 由 器 是 多 种 网 络 互 联 的 重要 设备 ， 路 由 器 一 般 位 于 防火 墙 之 外 ， 
是 边界 网 络 的 前 沿 ， 路 由 器 的 安全 管理 成 为 了 第 一 道 防线 ， 所 以 路 由 器 的 安全 越 来 越 
受到 重视 。 第 7 章 对 电子 邮件 服务 的 安全 以 及 客户 端 和 邮件 服务 器 的 安全 配置 进行 了 
详尽 的 介绍 。 如 今 病毒 的 总 数 以 每 月 上 百 个 的 速度 增加 ， 如 旺 虫 病毒 、CIH 病毒 、BO 
黑客 程序 、 宏 病毒 、 求 职 信 病 毒 及 以 电子 邮件 传染 的 邮件 病毒 ， 都 借助 于 网 络 一 一 这 
个 世界 性 的 传播 途径 而 具备 了 更 强 的 攻击 力 ， 所 以 第 8 章 对 病毒 的 基本 知识 和 病毒 的 
查 杀 做 了 专门 的 讲解 。 防 火 墙 是 一 种 被 动 的 防御 技术 ， 是 一 类 防范 措施 的 总 称 ， 是 目 
前 在 网 络 安全 技术 中 使 用 最 多 、 最 广泛 的 一 种 安全 技术 。 第 9 章 对 防火 墙 进行 了 分 析 ， 
并 给 出 了 配置 实例 。 如 何 建 立 一 个 安全 、 快 捷 的 电子 商务 应 用 环境 ， 对 信息 提供 足够 
的 保护 ， 已 经 成 为 商家 和 用 户 都 十 分 关心 的 话题 。 所 以 要 开展 电子 商务 ， 就 必须 充分 
了 解 电子 商务 中 应 该 注意 的 安全 问题 。 第 10 章 对 电子 商务 网 站 的 安全 配置 及 SSL 协议 
进行 了 详细 的 分 析 。 
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通过 本 书 的 学 习 可 以 对 网 络 安全 有 一 个 全 面 而 系统 的 认 知 ， 同 时 可 以 学 会 网 络 安全 性 
工具 的 使 用 方法 。 本 书 适用 于 网 络 管理 员 和 信息 安全 管理 人 员 ， 既 可 以 作为 高 等 院 校 信息 
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在 信息 时 代 , 信息 安全 问题 越 来 越 重要 。 现 在 ， 大 部 分 信息 都 是 通过 网 络 进行 传播 的 ， 
网 络 安全 成 为 21 世纪 世界 十 大 热门 课题 之 一 。 网 络 安全 在 IT 业内 可 分 为 网 络 安全 硬件 、 
网 络 安全 软件 和 网 络 安全 服务 。 其 中 ,网 络 硬件 包括 防火 墙 和 VPN、 独 立 的 VPN、 入 侵 检 
测 系统 、 认 证 令 牌 环 卡 、 生 物 识 别 系 统 、 加 密 机 和 芯片 。 网 络 安全 软件 包括 安全 内 容 管理 、 
防火 墙 和 VPN、 入 侵 检测 系统 、 安 全 3A、 加 密 等 。 其 中 安全 内 容 管 理 还 包括 防 病毒 、 网 
络 控制 和 邮件 扫描 ， 安 全 3A 包括 授权 、 认 证 和 管理 。 网 络 安全 服务 包括 顾问 咨询 、 设 计 
实施 、 支 持 维护 、 教 育 培训 和 安全 管理 。 随 着 因特网 的 日 益 普及 ， 网 络 安全 正在 成 为 一 个 
受 人 关注 的 焦点 。 而 要 保证 网 络 安全 就 必须 对 网 络 进行 安全 管理 。 下 面 先 了 解 一 下 网 络 体 
系 结构 的 相关 知识 ， 以 及 在 相应 模型 中 的 安全 问题 ， 再 对 网 络 安全 进行 详细 的 分 析 及 讨论 
解决 网 络 安全 管理 问题 的 关键 技术 。 


1.1 网络 体系 结构 概述 


众所周知 ， 一 个 计算 机 网 络 有 许多 互相 连接 的 节点 ， 在 这 些 节点 之 间 要 不 断 地 进行 数 
据 交 换 。 要 做 到 有 序 地 交换 数据 ， 每 个 节点 就 必须 遵守 一 些 事先 约定 好 的 规则 ， 这 些 规则 
明确 规定 了 所 交换 数据 的 格式 及 相关 的 同步 问题 .这 些 为 进行 网 络 数据 交换 而 建立 的 规则 、 
标准 或 约定 就 称 为 网 络 协议 。 一 个 网 络 协议 主要 由 以 下 三 个 要 素 组 成 。 

。 语法 : 数据 与 控制 信息 的 结构 或 格式 。 

。 语义 : 需要 发 出 何 种 控制 信息 、 完 成 何 种 协议 及 做 出 何 种 应 答 。 

。 同步 : 事件 实现 顺序 的 详细 说 明 。 

由 此 可 见 ， 网 络 协议 是 计算 机 网 络 不 可 缺少 的 部 分 。 很 多 经 验 和 实践 表明 ， 对 于 非常 
复杂 的 计算 机 网 络 协议 ,为 了 减少 网 络 设计 的 复杂 性 , 大 多 数 网 络 都 按 层 (layer) 或 级 (level) 
的 方式 来 进行 组 织 。 不 同 的 网 络 ， 其 层 的 数量 、 名 字 、 内 容 和 功能 都 不 尽 相同 。 这 样 分 层 
的 好 处 在 于 : 每 一 层 都 实现 相对 的 独立 功能 ， 因 此 就 能 将 一 个 难以 处 理 的 复杂 问题 分 解 为 
若干 个 较 容易 处 理 的 问题 。 

计算 机 网 络 的 各 层 及 协议 的 集合 称 为 网 络 的 体系 结构 (network architecture)。 换 言 之 ， 
计算 机 网 络 的 体系 结构 是 使 这 个 计算 机 网 络 及 其 部 件 所 应 该 完成 的 功能 的 精确 定义 。 需 要 
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强调 的 是 ， 这 些 功能 究竟 由 何 种 硬件 或 软件 完成 ， 则 是 一 个 遵循 这 种 体系 结构 的 实现 的 问 
题 。 可 见 ， 体 系 结构 是 抽象 的 ， 是 存在 于 纸 上 的 ， 而 对 它 的 实现 是 具体 的 ， 是 运行 在 计算 
机 软件 和 硬件 之 上 的 。 常 见 的 网 络 层次 结构 如 图 1-1 所 示 。 


主机 1 主机 2 
第 5 层 协议 


4/5 接 


3/4 接 


23 接 
第 2 层 协议 


112 
所 第 1 层 协议 


物理 介质 


图 1-1 
1.2 ”网络 体系 结构 的 参考 模型 
网 络 体系 结构 的 参考 模型 主要 有 两 种 ，OSI 模型 和 TCP/IP 模型 。 
1.2.1 OSI 参考 模型 


现代 计算 机 网 络 的 设计 ， 是 按 高 度 结构 化 方式 进行 的 。 为 减少 协议 设计 的 复杂 性 ， 大 
多 数 网 络 都 按 层 或 级 的 方式 来 组 织 ， 每 一 层 都 建立 在 它 的 下 层 之 上 。 不 同 的 网 络 ， 其 层 的 
数量 ， 各 层 的 名 字 、 内 容 和 功能 都 不 尽 相同 。 然 而 ， 在 所 有 的 网 络 中 ， 每 一 层 的 目的 都 是 
向 它 的 上 一 层 提供 服务 的 ， 而 把 这 种 服务 是 如 何 实现 的 细节 对 上 层 加 以 屏蔽 。 

最 著名 的 网 络 体系 结构 是 国际 标准 化 组 织 ISO 的 开放 系统 互 连 (Open System 
Interconnection，OSI) 参考 模型 ， 即 通常 所 提 的 OSI 模型 。OSI 模型 有 7 层 ， 其 分 层 原则 
如 下 : 
根据 功能 的 需要 分 层 。 

每 一 层 应 当 实现 一 个 定义 明确 的 功能 。 
每 一 层 功 能 的 选择 应 当 有 利于 制定 国际 标准 化 协议 。 
各 层 界 面 的 选择 应 当 尽量 减少 通过 接口 的 信息 量 。 
。 层 数 应 足够 多 ， 以 避免 不 同 的 功能 混杂 在 同一 层 中 。 但 也 不 能 过 多 ， 否 则 体系 结构 
会 过 于 庞大 。 

OSI 参考 模型 由 低 到 高 依次 是 物理 层 、 数 据 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 

层 和 应 用 层 ， 其 体系 结构 如 图 1-2 所 示 。 


1.2.2 TCP/IP 协议 结构 体系 
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应 用 层 。 |- 应 用 层 协 议 -| 应用 层 
区 a 
区 会 话 层 协议 本 
传输 层 。 | 一 传输 层 协 议 “| 二 
上 | 玫 
时 本 |- 下 开 名 中 及 协 六 | 数据 链 路 导 
| 的 Bt 议 | 由 
图 1-2 


OSI 参考 模型 的 建立 是 计算 机 网 络 技术 发 展 的 一 个 里 程 碑 ， 它 为 网 络 的 标准 化 提供 了 
一 致 的 框架 和 前 景 。 但 由 于 OSI 参考 模型 的 庞大 ， 因 此 在 建立 网 络 时 ， 并 没有 完全 依赖 
OSI 参考 模型 。 事 实 上 ， 基 于 TCP/IP 协议 的 Internet 网 络 有 着 自己 的 网 络 体系 结构 一 一 
TCP/IP 网 络 体系 结构 。 这 种 体系 结构 ， 目 前 已 经 成 为 事实 上 的 网 络 标准 。 

TCPI/IP 协议 体系 结构 与 OSI 参考 模型 类 似 , 也 为 分 层 体系 结构 , 但 比 OSI 参考 模型 的 
层 数 要 少 ， 一 般 为 4 层 结构 ， 从 低 到 高 依次 为 网 络 接口 层 、 网 络 层 、 传 输 层 和 应 用 层 ， 如 


图 1-3 所 示 。 


主机 A 主机 B 
报 文 流 
TCP 分 组 
IP 数 据 报 

网 络 接口 导 网 络 接口 导 
网 络 由 
物理 介质 | 


图 1-3 
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1. 网 络 接口 层 


网 络 接口 层 在 TCP/IP 协议 结构 的 最 底层 。 该 层 中 的 协议 提供 了 一 种 数据 传送 的 方 
法 ， 使 得 系统 可 以 通过 直接 的 物理 连接 的 网 络 ， 将 数据 传送 到 其 他 设备 ， 并 定义 了 如 何 
利用 网 络 来 传送 人 P 数据 报 。TCP/IP 网 络 接口 层 一 般 包括 OSI 参考 模型 的 物理 层 和 数据 链 
路 层 的 全 部 功能 ， 因 此 这 一 层 的 协议 很 多 ， 包 括 各 种 局 域 网 、 广 域 网 的 各 种 物理 网 络 的 
标准 。 

2. 网 络 层 


网 络 层 在 网 络 接 口 的 上 一 层 。 网 络 层 协议 IP 是 TCP/IP 的 核心 协议 ， 也 是 网 络 层 中 最 
重要 的 协议 。IP 可 提供 基本 的 分 组 传输 服务 ， 这 是 构造 TCP/IP 的 基础 。 网 络 导 上、 下 层 
中 的 所 有 协议 都 使 用 IP 协议 传送 数据 ， 所 有 的 TCP/IP 数据 ， 无 论 是 进来 的 还 是 出 去 的 ， 
都 流 经 PP， 并 与 它 的 最 终 目 的 地 无 关 。 另 外 ， 网 络 层 还 有 地 址 转换 协议 (ARP〉 和 网 间 控 
制 报 文 协议 (ICMP ) 两 个 协议 , 其 中 ICMP 协议 具有 测试 网 络 链 路 和 检测 网 络 故障 的 功能 ， 
是 他 协议 不 可 分 割 的 一 部 分 。 


3. 传输 层 


传输 层 在 网 络 层 的 上 一 层 ， 又 称 主机 到 主机 传输 层 。 传 输 层 有 传输 控制 协议 (TCP) 
和 用 户 数据 报 协议 (UDP) 两 个 重要 的 协议 ， 用 以 提供 端 到 端的 数据 传输 服务 ， 即 从 一 个 
应 用 程序 到 另 一 个 应 用 程序 之 间 的 信息 传递 。TCP 利用 端 到 端的 错误 检测 与 纠正 功能 ， 提 
供 可 靠 的 数据 传输 服务 。 而 UDP 则 提供 低 开 销 、 无 链接 的 数据 报 传输 服务 。 


4. 应 用 层 


TCP/IP 协议 体系 结构 的 顶层 是 协议 最 多 的 一 层 。 应 用 层 的 协议 大 多 数 都 为 用 户 提供 直 
接 的 服务 ， 而 且 还 在 不 断 地 增加 新 的 服务 。 
常见 的 应 用 层 协 议 有 : 
Telnet 网 络 终端 协议 。 
FTP 文件 传输 协议 。 
SMTP 简单 邮件 传输 协议 。 
POP 邮件 接收 协议 。 
HTTP 超 文 本 传输 协议 。 
DNS 域名 服务 等 。 


1.3 系统 安全 结构 


网 络 系统 的 安全 涉及 平台 的 各 个 方面 。 按 照 网 络 OSI 的 7 层 模型 ， 网 络 安全 贯穿 于 整 
个 7 层 模 型 。 针 对 网 络 系统 实际 运行 的 TCP/IP 协议 ， 网 络 安全 贯穿 于 信息 系统 的 4 个 层 
次 。 网 络 的 安全 体系 层次 模型 如 表 1-1 所 示 。 
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表 1-1 网 络 的 安全 体系 层次 模型 
应 用 系统 安全 
应 用 平台 安全 
会 话 安全 
安全 路 由 /访问 机 制 


应 用 系统 安全 
链 路 安全 
物理 层 安全 


1. 物理 层 


物理 层 信息 安全 , 主要 防止 物理 通路 的 损坏 、 物 理 通 路 的 窃听 及 对 物理 通路 的 攻击 ( 干 
扰 等 )。 


2. 数据 链 路 层 


数据 链 路 层 的 网 络 安全 需要 保证 通过 网 络 链 路 传送 的 数据 不 被 窃听 ， 主 要 采用 划分 
VLAN (局 域 网 )、 加 密 通 信 (远程 网 ) 等 手段 。 


3. 网 络 层 


网 络 层 的 安全 需要 保证 网 络 只 给 授权 的 客户 使 用 授权 的 服务 ， 保 证 网 络 路 由 正确 ， 避 
免 被 拦截 或 监听 。 


4. 操作 系统 

操作 系统 安全 要 求 保证 客户 资料 、 操 作 系 统 访问 控制 的 安全 ， 同 时 能 够 对 该 操作 系统 
上 的 应 用 进行 审计 。 

5. 应 用 平台 


应 用 平台 指 建 立 在 网 络 系统 之 上 的 应 用 软件 服务 ， 如 数据 库 服务 器 、 电 子 邮 件 服务 器 
和 Web 服务 器 等 。 由 于 应 用 平台 的 系统 非常 复杂 ， 通 常 采用 多 种 技术 〈 如 SSL 等 ) 来 增 
强 应 用 平台 的 安全 性 。 


6. 应 用 系统 


应 用 系统 完成 网 络 系统 的 最 终 目的 一 一 为 用 户 服务 。 应 用 系统 的 安全 与 系统 设计 和 实 
现 关系 密切 ， 应 用 系统 使 用 应 用 平台 提供 的 安全 服务 来 保证 基本 安全 ， 如 通信 和 内容 安全 ， 
通信 双方 的 认证 、 审 计 等 手段 。 


1.4 TCPI/IP 层次 安全 
TCP/IP 的 层次 不 同 ， 提 供 的 安全 性 也 不 同 ， 例 如 ， 在 网 络 层 提供 虚拟 私 用 网 络 ， 在 传 


输 层 提供 安全 套 接 字 服务 。 下 面 将 分 别 介绍 TCP/IP 不 同 层次 的 安全 性 和 提高 各 层 安全 性 
的 方法 。 
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1.4.1 网 络 层 的 安全 性 


国际 上 正在 对 网 络 层 (Internet 层 ) 的 安全 协议 进行 标准 化 。 如 “安全 协议 3 号 (SP3)”、 
“网 络 层 安全 协议 (NLSP)”“ 集 成 化 NLSP (LNLSP)”、SwIPe 和 IPSP 等 安全 协议 ， 这 
些 安全 协议 用 的 都 是 IP 封装 技术 。 其 本 质 是 : 纯 文 本 的 包 被 加 密 、 封 装 在 外 层 的 IP 报头 
里 ， 用 来 对 加 密 的 包 进 行 因特网 上 的 路 由 选择 。 到 达 另 一 端 时 ， 外 层 的 他 报头 被 拆 开 ， 报 
文 被 解密 ， 然 后 送 到 收报 地 点 。 

网 络 层 安 全 性 的 主要 优点 是 它 的 透明 性 ， 即 安全 服务 的 提供 ， 不 需要 应 用 程序 、 其 他 
通信 层次 和 网 络 部 件 做 任何 改动 。 它 的 主要 缺点 是 网 络 层 一 般 对 属于 不 同 进程 和 相应 条 例 
的 包 不 加 以 区 别 。 对 所 有 发 往 同一 地 址 的 包 ， 它 将 按照 同样 的 加 密 密 钥 和 访问 控制 策略 来 
处 理 。 这 可 能 导致 提供 不 了 所 需 的 功能 ， 也 会 导致 性 能 下 降 。 

网 络 层 是 非常 适合 提供 基于 主机 对 主机 的 安全 服务 的 。 相 应 的 安全 协议 可 以 用 来 在 因 
特 网 上 建立 安全 的 人 P 通道 和 虚拟 私有 网 。 例 如 ， 利 用 它 对 IP 包 的 加 密 和 解密 功能 ， 可 以 
简捷 地 强化 防火 墙 系统 的 防卫 能 力 。 


1.4.2 ”传输 层 的 安全 性 


在 因特网 中 提供 安全 服务 的 首先 想法 便 是 强化 它 的 IPC (Internet Protocol Control) 界 
面 ， 如 BSD Sockets 等 ， 具 体 做 法 包括 双 端 实体 的 认证 、 数 据 加 密 密 钥 的 交换 等 。Netscape 
通信 公司 遵循 了 这 个 思路 ， 制 定 了 建立 在 可 靠 的 传输 服务 (如 TCP/IP 所 提供 ) 基础 上 的 
安全 套 接 ( 层 ) 协议 (SSL)。SSL 版 本 3 (SSL v3) 于 1995 年 12 月 制定 ， 主 要 包含 以 下 
两 个 协议 。 

1. SSL 记录 协议 


该 协议 涉及 应 用 程序 提供 的 信息 的 分 段 、 压 缩 、 数 据 认 证 和 加 密 。SSL v3 提供 对 数据 
认证 用 的 MD5 和 SHA 及 数据 加 密 用 的 R4 和 DES 等 的 支持 ,用 来 对 数据 进行 认证 和 加 密 
的 密 钥 可 以 通过 SSL 的 握手 协议 来 协商 。 


2. SSL 握手 协议 


用 来 交换 版 本 号 、 加 密 算法 、( 相 互 ) 身份 认证 并 交换 密 钥 。SSL v3 提供 对 
Diffie-Hellman 密 钥 交 换算 法 、 基 于 RSA 的 密 钥 交换 机 制 和 另 一 种 实现 在 Fortezza chip 上 
的 密 钥 交换 机 制 的 支持 。 


1.4.3 ”应 用 层 的 安全 性 
网 络 层 (或 传输 层 ) 的 安全 协议 允许 为 主机 (或 进程 ) 之 间 的 数据 通道 增加 安全 属性 。 


本 质 上 ,这 意味 着 真正 的 (或 许 再 加 上 机 密 的 ) 数据 通道 还 是 建立 在 主机 或 进程 ) 之 问 ， 
但 却 不 可 能 区 分 在 同一 通道 上 传输 的 一 个 具体 文件 的 安全 性 要 求 。 例 如 ， 如 果 一 个 主机 与 
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另 一 个 主机 之 间 建 立 起 一 条 安全 的 IP 通道 ， 那 么 所 有 在 这 条 通道 上 传输 的 人 P 包 都 要 自动 
地 被 加 密 。 同 样 ， 如 果 一 个 进程 和 另 一 个 进程 之 间 通 过 传输 层 安全 协议 建立 起 了 一 条 安全 
的 数据 通道 ， 那 么 两 个 进程 问 传输 的 所 有 消息 都 要 自动 地 被 加 密 。 

如 果 确 实 想 要 区 分 一 个 具体 文件 的 不 同 的 安全 性 要 求 ， 那 就 必须 借助 于 应 用 层 的 安全 
性 。 提 供应 用 层 的 安全 服务 实际 上 是 最 灵活 的 处 理 单个 文件 安全 性 的 手段 。 例 如 一 个 电子 
邮件 系统 可 能 需要 对 要 发 出 的 信件 的 个 别 段落 实施 数据 签名 ， 较 低层 的 协议 提供 的 安全 功 
能 一 般 不 会 知道 任何 要 发 出 的 信件 的 段落 结构 , 从 而 不 可 能 知道 应 该 对 哪 一 部 分 进行 签名 。 
只 有 应 用 层 是 唯一 能 够 提供 这 种 安全 服务 的 层次 。 

目前 都 使 用 PKI ( 公 钥 基础 结构 ) 进行 认证 和 密 钥 分 配 。PEM PKI 是 按 层次 组 织 的 ， 
由 下 述 三 个 层次 构成 

。 顶层 为 网 络 层 安全 政策 登记 机 构 (IPRA) 。 

。 第 二 层 为 安全 政策 证 书 颁 发 机 构 (PCA) 。 

。 底层 为 证 书 颁发 机 构 (CA) 。 


1.5 TCP/IP 的 服务 安全 


对 TCP/IP 协议 的 服务 很 多 ， 人 们 比较 熟悉 的 有 WWW 服务 、FTP 服务 和 电子 邮件 服 
务 ， 不 太 熟 悉 的 有 TFTP 服务 、NFS 服务 和 Finger 服务 等 。 这 些 服务 都 存在 不 同 程度 的 安 
全 缺陷 ， 当 用 户 用 防火 墙 保护 站 点 时 ， 就 址 要 考虑 应 该 提供 哪些 服务 ， 要 禁止 哪些 服务 ， 
在 这 里 只 对 一 些 服务 进行 介绍 。 


1.5.1 WWW 服务 


WWW 服务 相对 于 其 他 服务 出 现 比 较 晚 ， 它 基于 超 文本 传输 协议 (HTTP)， 是 人 们 最 
常 使 用 的 Internet 服务 。 随 着 Netscape 公司 推出 安全 套 接 字 层 ，WWW 服务 器 和 浏览 器 的 
安全 性 得 到 大 大 的 提高 ， 现 在 人 们 已 经 把 这 种 技术 应 用 于 电子 商务 (E-business)， 例 如 在 
许多 国家 ,人 们 可 以 在 因特网 上 买卖 股票 和 使 用 信用 卡 购物 。 既然 把 WWW 服务 说 得 那么 
安全 , 那么 它 是 否 存在 安全 问题 呢 ? 安全 套 接 字 层 确 实 保证 了 WWW 服务 的 安全 , 但 它 主 
要 解决 了 数据 包 被 窍 听 和 劫持 的 问题 。 除 此 之 外 ，WWW 服务 还 有 其 他 问题 , 如 WWW 服 
务 使 用 的 CGI 程序 、 服 务 器 端 附件 〈Server Side Include，SSI) 和 Java Applet 小 程序 等 。 


1.5.2 ”电子 邮件 服务 


电子 邮件 服务 给 人 们 提供 了 一 种 方便 和 快捷 的 服务 ， 现 在 大 部 分 人 都 有 一 个 或 多 个 
E-mail 地 址 。 目 前 ， 任 何 一 个 大 型 网 站 上 都 有 免费 或 收费 电子 邮件 的 申请 。 但 是 电子 邮件 
附件 中 的 Word 文件 或 其 他 文件 中 有 可 能 会 带 有 病毒 。 还 有 电子 邮件 炸弹 也 是 一 个 令 人 头 
疫 的 问题 。 收 到 了 一 大 堆 垃圾 邮件 ， 直 到 邮件 箱 被 塞 满 ， 也 会 给 用 户 带 来 不 便 。 关 于 电子 
邮件 的 安全 将 在 第 6 章 中 讲述 ， 希 望 对 读者 了 解 电子 邮件 安全 起 到 一 定 的 作用 。 
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1.5.3 FTP 服务 和 TFTP 服务 


FTP 服务 和 TFTP 服务 都 是 用 于 传输 文件 的 , 但 用 的 场合 不 同 , 安全 程度 也 不 同 。TFTP 
服务 用 于 局 域 网 ， 在 无 盘 工 作 站 启动 时 用 于 传输 系统 文件 ， 安 全 性 极 差 ， 常 被 人 用 来 窃取 
密码 文件 (/etc/passwd)， 因 为 它 不 带 有 任何 安全 认证 。FTP 服务 对 于 局 域 网 和 广域网 都 可 
以 , 可 以 用 来 下 载 任何 类 型 的 文件 。 网 上 有 许多 匿名 FTP 服务 站 点 , 上 面 有 许多 免费 软件 、 
图 片 和 游戏 ， 匿 名 FTP 是 人 们 常 使 用 的 一 种 服务 方式 。FTP 服务 的 安全 性 要 好 一 些 ， 起 码 
它 需 要 用 户 输入 用 户 名 和 口令 。 当 然 ， 匿 名 FTP 服务 就 像 匿 名 WWW 服务 一 样 是 不 需要 
口令 的 ， 但 用 户 权 力 会 受到 严格 的 限制 。 匿 名 FTP 存在 一 定 的 安全 隐患 ， 因 为 有 些 匿名 
FTP 站 点 提供 可 写 区 为 用 户 所 使 用 ， 这 样 用 户 可 以 上 传 一 些 软件 到 站 点 上 。 但 这 些 可 写 区 
常 被 一 些 人 作为 地 下 仓库 ， 存 放 一 些 盗 版 软件 和 黄色 图 片 ， 这 会 浪费 用 户 的 磁盘 空间 、 网 
络 带宽 等 系统 资源 ， 可 能 会 造成 “拒绝 服务 ”攻击 。 匿 名 FTP 服务 的 安全 很 大 程度 上 决定 
于 一 个 系统 管理 员 的 水 平 。 一 个 低 水 平 的 系统 管理 员 很 可 能 会 错误 配置 权限 ， 从 而 被 黑客 
利用 破坏 整个 系统 。 


1.5.4 ”Finger 服务 


Finger 服务 用 于 查询 用 户 的 信息 ， 包 括 网 上 成 员 的 真实 姓名 、 用 户 名 、 最 近 的 登录 时 
间 和 地 点 等 ， 也 可 以 用 来 显示 当前 登录 在 机 器 上 的 所 有 用 户 名 。 这 对 于 入 侵 者 来 说 是 无 价 
之 宝 ， 因 为 它 能 告诉 他 在 本 机 上 的 有 效 登录 名 ， 然 后 入 侵 者 就 可 以 注意 其 活动 。 


1.5.5 ”其 他 服务 


除了 上 面 提 到 的 Finger 和 TFTP， 还 有 X-Window 服务 ， 基 于 RPC 的 NFS 服务 ,BSD 
UNIX 的 以 r 开头 的 服务 ， 如 rlogin、rsh 和 rexec 等 。 这些 服务 在 设计 上 安全 性 很 差 ， 一 般 
只 在 内 部 网 使 用 。 如 果 有 防火 墙 ， 应 把 这 些 服务 限制 在 内 部 网 中 。 


1.6 个 人 网 络 安全 


关于 个 人 网 络 的 安全 是 很 重要 的 ， 如 果 网 上 免费 邮箱 被 炸 ， 上 网 账号 被 偷 用 等 ， 对 用 
户 就 造成 了 损失 。 下 面 简单 介绍 一 下 应 该 注意 的 问题 。 

。 邮箱 中 标题 不 明 的 邮件 不 能 随便 打开 。 

。 在 聊天 室 或 BBS 上 不 公开 自己 的 耳 、 邮 件 地 址 等 个 人 隐私 。 

。 要 经 常 更 换 自 己 计算 机 的 密码 。 另 外 ， 不 要 在 外 人 面前 输入 密码 ， 密 码 的 长 度 要 足 

够 长 。 
。 一 般 不 要 让 计算 机 记 住 密码 ， 以 免 别 人 使 用 你 的 计算 机 使 自己 的 机 密 外 汇 。 
。 不 要 在 自己 的 计算 机 上 运行 不 明 的 程序 ， 这 些 可 能 是 黑客 程序 。 
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1.7 ”局域网 的 安全 


目前 的 局 域 网 基本 上 都 采用 以 广播 为 技术 基础 的 以 太 网 ， 任 何 两 个 节点 之 间 的 通信 数 
据 包 ， 不 仅 为 这 两 个 节点 的 网 卡 所 接收 ， 也 同时 为 处 在 同一 以 太 网 上 的 任何 一 个 节点 的 网 
卡 所 截取 。 因 此 ， 黑 客 只 要 接 入 以 太 网 上 的 任 一 节点 进行 侦 听 ， 就 可 以 捕获 发 生 在 这 个 以 
太 网 上 的 所 有 数据 包 ， 对 其 进行 解 包 分 析 ， 从 而 窃取 关键 信息 ， 这 就 是 以 太 网 所 固有 的 安 
全 隐患。 

局 域 网 安全 方法 有 如 下 几 种 。 


1.7.1 网 络 分 段 


网 络 分 段 是 保证 安全 的 一 项 重要 措施 ， 就 是 将 非法 用 户 与 网 络 资源 相互 隔离 ， 从 而 达 
到 限制 用 户 非法 访问 的 目的 。 
网 络 分 段 可 分 为 物理 分 段 和 迪 辑 分 段 两 种 方式 。 


1 物理 分 段 


物理 分 段 通常 是 指 将 网 络 从 物理 层 和 数据 链 路 层 (ISO/OSI 模型 中 的 第 1 层 和 第 2 层 ) 
上 分 为 若干 网 段 ， 各 网 段 相互 之 问 无 法 进行 直接 通信 。 目 前 ， 许 多 交换 机 都 有 一 定 的 访问 
控制 能 力 ， 可 实现 对 网 络 的 物理 分 段 。 


2.， 逻辑 分 段 


邮 辑 分 段 是 指 将 整个 系统 在 网 络 层 〈ISO/OSI 模型 中 的 第 3 层 ) 上 进行 分 段 。 例 如 ， 
对 于 TCP/IP 网 络 ， 可 把 网 络 分 成 若干 IP 子 网 ， 各 子 网 间 必 须 通 过 路 由 器 、 路 由 交换 机 、 
网 关 或 防火 墙 等 设备 进行 连接 ， 利 用 这 些 中 间 设 备 〈 含 软件 、 硬 件 ) 的 安全 机 制 来 控制 各 
子 网 间 的 访问 。 在 实际 应 用 过 程 中 ， 通 常 采取 物理 分 段 与 旭 辑 分 段 相 结合 的 方法 来 实现 对 
网 络 系统 的 安全 性 控制 。 


1.7.2 ”以 交换 式 集线器 代替 共享 式 集线器 


对 局 域 网 的 中 心 交换 机 进行 网 络 分 段 后 ， 以 太 网 侦 听 的 危险 仍然 存在 。 这 是 因为 网 络 
最 终 用 户 的 接 入 往往 是 通过 分 支 集线器 而 不 是 中 心 交换 机 ， 而 使 用 最 广泛 的 分 支 集线器 通 
常 是 共享 式 集线器 。 这 样 ， 当 用 户 与 主机 进行 数据 通信 时 ， 两 台 机 器 之 间 的 数据 包 (为 单 
播 包 Unicast Packet) 还 是 会 被 同一 台 集线器 上 的 其 他 用 户 所 侦 听 。 一 种 很 危险 的 情况 是 ， 
用 户 远程 登录 到 一 台 主 机 上 ， 由 于 TELNET 程序 本 身 缺 乏 加 密 功能 ， 用 户 所 输入 的 每 一 个 
字符 (包括 用 户 名 、 密 码 等 重要 信息 ) 都 将 被 明文 发 送 ， 这 就 给 黑客 提供 了 机 会 。 

因此 ， 应 该 以 交换 式 集线器 代替 共享 式 集线器 ， 使 单 播 包 仅 在 两 个 节点 之 间 传 送 ， 从 
而 防止 非法 侦 听 。 
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1.7.3 ”虚拟 专 网 


虚拟 专 网 技术 主要 基于 近年 发 展 的 局 域 网 交换 技术 (ATM 和 以 太 网 交换 )。 交 换 技 术 
将 传统 的 基于 广播 的 局 域 网 技术 发 展 为 面向 连接 的 技术 。 因 此 ， 网 管 系统 有 能 力 限制 局 域 
网 通信 的 范围 而 无 须 通过 开销 很 大 的 路 由 器 。 

以 太 网 从 本 质 上 是 广播 机 制 , 但 应 用 了 交换 器 和 VLAN 技术 后 ,实际 上 转变 为 点 对 点 
通信 。 除 非 设置 了 监听 口 ， 信 息 交换 才 不 会 存在 监听 和 插入 〔 改 变 ) 问题 ， 所 以 运行 虚拟 
网 技术 带 来 的 网 络 安全 的 好 处 是 显而易见 的 。 


1.8 广域网 的 安全 


由 于 广域网 大 多 采用 公 网 来 进行 数据 传输 ， 因 此 信息 在 广域网 上 传输 时 被 截取 和 利用 
的 可 能 性 就 比 局 域 网 要 大 得 多 。 

广域网 安全 解决 办 法 主要 依靠 防火 墙 技术 、 入 侵 检 测 技术 和 网 络 防 病毒 技术 。 在 实际 
的 广域网 安全 设计 中 ， 往 往 采取 上 述 三 种 技术 防火 墙 、 入 侵 检 测 和 网 络 防 病毒 ) 相 结合 
的 方法 。 广 域 网 一 般 采 用 以 下 安全 解决 办 法 。 


1.8.1 ”加 密 技术 


加 密 型 网 络 安全 技术 的 基本 思想 是 不 依赖 于 网 络 中 数据 通道 的 安全 性 来 实现 网 络 系 
统 的 安全 ， 而 是 通过 对 网 络 数据 的 加 密 来 保障 网 络 的 安全 可 靠 性 。 数 据 加 密 技 术 可 以 分 为 
三 类 : 对 称 型 加 密 、 不 对 称 型 加 密 和 不 可 逆 加 密 。 

其 中 不 可 道 加 密 算 法 不 存在 密 钥 保管 和 分 发 问题 ， 适 用 于 分 布 式 网 络 系统 ， 但 是 其 加 
密 计 算 量 相当 可 观 ， 所 以 通常 在 数据 量 有 限 的 情形 下 使 用 。 计 算 机 系统 中 的 口令 就 是 利用 
不 可 逆 加 密 算法 加 密 的 。 将 在 第 2 章 中 详细 讲述 加 密 技术 知识 。 


1.8.2 VPN 技术 


虚拟 专 网 (Virtual Private Network，VPN) 技术 的 核心 是 采用 隧道 技术 ， 将 企业 专 网 
的 数据 加 密封 装 后 ， 透 过 虚拟 的 公 网 隧道 进行 传输 ， 从 而 防止 敏感 数据 的 被 窃 。VPN 可 以 
在 nternet、 服 务 提供 商 的 卫 、 帧 中 继 或 ATM 网 上 建立 。 企 业 通 过 公 网 建立 VPN， 就 如 同 
通过 自己 的 专用 网 建立 内 部 网 一 样 ， 享 有 较 高 的 安全 性 、 优 先 性 、 可 靠 性 和 可 管理 性 ， 同 
时 还 为 移动 计算 提供 了 可 能 。 因 此 ，VPN 技术 一 经 推出 就 深 得 人 心 ， 是 一 种 很 好 的 安全 
技术 。 


1.8.3 ”身份 认证 技术 


对 于 从 外 部 拨号 访问 总 部 内 部 网 的 用 户 ， 由 于 使 用 公共 电话 网 进行 数据 传输 所 带 来 的 
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风险 ， 必 须 更 加 严格 控制 其 安全 性 。 一 种 常见 的 做 法 是 采用 身份 认证 技术 ， 对 拨号 用 户 的 
身份 进行 验证 并 记录 完备 的 登录 日 志 。 较 常用 的 身份 认证 技术 ， 有 Cisco 公司 提出 的 
TACACS+ 及 业界 标准 的 RADIUS 等 。 


1.9 网 络 安全 威胁 


网 络 安全 威胁 是 指 有 可 能 访问 资源 并 造成 破坏 的 某 个 人 、 某 个 地 方 或 某 个 事物 。 威 胁 
的 类 型 很 多 ， 有 自然 的 和 物理 的 (火灾 、 地 震 )， 无意 的 (不 知情 的 顾客 或 员工 ) 和 故意 的 
(攻击 者 、 恐 怖 分 子 和 工业 间谍 等 )。 下 面 介绍 网 络 威胁 的 几 个 重要 概念 。 


1. 安全 漏洞 


安全 漏洞 是 指 资源 容易 遭受 攻击 的 位 置 ， 它 可 以 被 视 为 一 个 弱点 。 安 全 漏洞 通常 按 
表 1-2 所 示 的 方法 进行 分 类 。 安 全 漏洞 类 型 有 物理 的 和 自然 的 、 硬 件 和 软件 的 、 媒 介 的 、 
通信 的 (未 加 密 的 协议 ) 和 人 为 的 等 。 


表 1-2 计算 环境 中 的 漏洞 


安全 漏洞 类 型 安全 漏洞 类 型 示例 
物理 的 电 干扰 
自然 的 未 加 密 协议 
硬件 和 软件 防 病毒 软件 过 期 不 可 靠 的 技术 支持 
2. 乘虚 攻击 


一 种 威胁 可 以 通过 利用 环境 中 的 安全 漏洞 访问 到 计算 机 中 的 资源 产生 。 这 种 类 型 的 攻 
击 也 称 为 乘虚 攻击 。 乘 虚 攻击 资源 的 方法 有 许多 种 。 
1) 利用 技术 漏洞 型 攻击 
。 强力 攻击 。 
。 缓冲 区 溢出 。 
。 错误 配置 。 
。 重 放 攻 击 。 
。 会 话 劫持 。 
2) 信息 收集 
。 地 址 识别 。 
。 操作 系统 识别 。 
。 端口 扫描 。 
。 服务 和 应 用 程序 探测 。 
。 漏洞 扫描 。 
响应 分 析 。 
。 用 户 枚 举 。 
。 文档 研磨 。 


粒 
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。 无 线 泄露 。 

。 社会 工程 。 

3) 拒绝 服务 

。 物理 损坏 。 

。 资源 删除 。 

。 资源 修改 。 

。 资源 饱和 。 

另外 ， 来 自 网 络 的 威胁 还 有 如 下 几 方面 。 

。 操作 系统 的 安全 性 : 许多 操作 系统 均 存在 网 络 安全 漏洞 。 
。 防火 墙 的 安全 性 : 防火 墙 产品 是 否 设置 错误 等 。 

。 来 自 内 部 网 用 户 的 安全 威胁 。 

。 缺乏 有 效 的 手段 监视 、 评 估 网 络 系统 的 安全 性 。 

。 采用 的 TCP/IP 协议 族 软件 ， 本 身 缺 乏 安全 性 。 

。 未 能 对 来 自 Internet 的 电子 邮件 挟 带 的 病毒 进行 有 效 控制 。 
。 应 用 服务 的 安全 : 应 用 服务 系统 在 访问 控制 及 安全 通信 设置 错误 等 。 


1.10 ”网络 系统 安全 应 具备 的 功能 


网 络 系统 的 安全 体系 应 包含 如 下 几 方面 。 

。 访问 控制 : 通过 对 特定 网 段 、 服 务 建立 的 访问 控制 体系 ， 将 绝 大 多 数 攻击 阻止 在 到 
达 攻击 目标 之 前 。 

。 检查 安全 漏洞 : 通过 对 安全 漏洞 的 周期 检查 ， 即 使 攻击 可 到 达 攻击 目标 ， 也 可 使 绝 

大 多 数 攻击 无 效 。 

攻击 监控 : 通过 对 特定 网 段 、 服 务 建 立 的 攻击 监控 体系 ， 可 实时 检测 出 绝 大 多 数 攻 

击 ， 并 采取 相应 的 行动 (如 断 开 网 络 连接 、 记 录 攻 击 过 程 和 跟踪 攻击 源 等 ) 。 

。 加 密 通 信 : 主动 的 加 密 通信 ， 可 使 攻击 者 不 能 了 解 、 修 改 敏感 信息 。 

。 认证 : 良好 的 认证 体系 可 防止 攻击 者 假冒 合法 用 户 。 

备份 和 恢复 : 良好 的 备份 和 恢复 机 制 ， 可 在 攻击 造成 损失 时 ， 尽 快 地 恢复 数据 和 系 

统 服务 。 

多 层 防御 : 攻击 者 在 突破 第 一 道 防线 后 ， 延 缓 或 阻 断 其 到 达 攻 击 目标 。 

。 隐藏 内 部 信息 : 使 攻击 者 不 能 了 解 系统 内 的 基本 情况 。 

。 设立 安全 监控 中 心 : 为 信息 系统 提供 安全 体系 管理 、 监 控 、 保 护 及 紧急 情况 服务 。 


1.11 网 络 安全 的 主要 攻击 形式 
在 网 络 安全 中 常用 的 攻击 形式 有 信息 收集 、 利 用 技术 漏洞 型 攻击 、 会 话 支持、 防止 DNS 


毒化 、URL 字符 串 攻击 、 攻 击 安全 账户 管理 器 、 文 件 缓冲 区 溢出 、 拒 绝 服务 、 攻 击 后 门 攻 
击 和 恶意 代码 等 。 


| 


信息 收集 


攻击 者 总 是 要 挖空心思 找到 要 攻击 环境 的 信息 。 防 范 信息 收集 的 关键 技术 就 是 限制 外 
部 对 资源 进行 未 经 授权 的 访问 。 经 常 使 用 的 方法 有 : 


确保 网 络 上 只 有 那些 已 标识 的 特定 设备 能 够 建立 远程 访问 连接 。 

在 通过 外 部 防火 墙 直接 连接 Internet 的 计算 机 上 关闭 TCP/IP 上 的 NetBIOS, 包括 端 
口 135、137、139 和 445。 这 样 做 能 使 外 部 人 员 更 难 利用 标准 联网 手段 连接 到 服 
务 器 。 

在 面向 Intemet 的 网 络 适配器 和 过 滤 流 向 某 一 网 站 通信 的 防火 墙 上 仅 启 用 端口 80 和 
443， 这 样 做 可 以 消除 大 多 数 基于 端口 的 侦 测 攻击 。 

审查 公共 网 站 上 的 信息 以 确保 该 站 点 上 使 用 的 电子 邮件 地 址 不 是 管理 账户 。 

管理 放 在 Web 站 点 的 源 代码 中 的 内 容 类 型 , 以 防止 攻击 者 审阅 该 代码 (该 技术 有 时 
被 称 为 源 代码 筛选 ) 来 获取 宝贵 的 信息 。 

审查 为 一 般 公 众 提供 的 信息 有 没有 自己 的 IP 地 址 和 域名 注册 信息 .确保 攻击 者 无 法 
通过 DNS 查询 参考 网 络 或 哄骗 DNS 执行 完整 的 区 域 复制 ， 因 为 通过 转 储 DNS 中 
的 所 有 记录 ， 攻 击 者 可 以 清楚 地 发 现 最 易于 攻击 的 计算 机 。 为 了 防止 DNS 查询 ， 

可 以 通过 利用 通知 选项 和 仅 允 许 到 授权 服务 器 的 区 域 复制 ， 为 Windows 2000 DNS 
服务 器 分 配 权限 。 另 一 个 办 法 是 实施 一 个 只 读 DNS， 并 部 署 更 新 它 的 策略 和 步骤 。 


除了 防范 信息 收集 


用 6 种 方法 外 ， 还 应 该 了 解 攻击 者 所 使 用 的 信息 收集 方法 。 在 


信息 收集 中 ， 攻 击 者 最 常 使 用 的 方法 就 是 扫描 方法 ， 表 1-3 中 列 出 了 一 般 攻击 者 使 用 的 扫 
描 方法 及 其 应 用 。 


扫描 方法 
Internet 控制 
消息 协议 
(ICMP) 回 显 
或 ping 


表 1-3 ”扫描 的 方法 及 其 应 用 


工作 方式 
将 ICMP 端口 0 数据 包 发 送 给 接收 系统 ， 
如 果 系 统 允 许 响 应 ICMP 回 显 ， 它 将 给 正 
在 扫描 的 系统 发 送 一 个 ICMP 回复 , 表明 
系统 正在 工作 并 在 监听 网 络 通信 


应 用 
Ping 扫描 用 于 识别 网 络 上 正在 监听 的 主机 ， 
它 不 能 识别 ICMP 之 外 的 监听 端口 或 协议 。 
许多 安全 过 滤 设 备 都 会 阻止 ICMP 回 显 请 
求 ， 因 此 可 防止 ping 信号 通过 网 络 周边 


TCP 连接 或 三 
方 握手 


利用 标准 三 方 握手 方式 验证 到 监听 TCP 
端口 的 连接 


通 不 过 TCP 过 滤 安 全 设备 (比如 防火 墙 或 数 
据 包 过 滤 路 由 器 )， 则 会 很 好 


TCP 哄骗 连接 
请 求 (SYN) 


利用 三 方 握手 的 前 两 个 步骤 , 正在 扫描 的 
系统 会 发 送 一 个 带 有 上 一 步 重 置 (RST) 
标志 的 数据 包 , 而 不 是 状态 确认 (ACK)， 
因而 不 会 建立 一 个 完整 的 连接 


由 于 连接 从 未 建立 ， 因 此 被 安全 设备 检测 出 
或 过 滤 掉 的 可 能 性 更 小 ， 在 某 种 程度 上 比 
TCP 连接 扫描 慢 


TCP Finish 
(FIN) 


除 FIN 标志 外 , 所 有 标志 均 被 关闭 ; 监听 
端口 上 收 到 的 这 类 数据 包 通常 不 会 发 出 
响应 ， 反 而 非 监 听 端 口 会 发 送 RST 数据 
包 ; 不 响应 的 端口 是 那些 正在 监听 的 端口 


可 能 绕 过 仅 监 听 SYN 数据 包 的 系统 或 安全 
设备 ， 与 TCP SYN 扫描 结果 类 似 。 也 许 不 
能 从 基于 Windows 的 系统 上 获得 准确 的 结 
果 ， 从 而 难以 确定 这 些 系统 上 已 打开 的 端口 


碎片 数据 包 


使 用 以 前 的 一 种 扫描 技术 ， 将 TCP 数据 
包 分 成 碎片 以 在 目标 位 置 重 新 组 装 


有 些 安全 设备 (包括 入 侵 检 测 系统 ) 在 重新 
组 装 这 些 数据 包 流 时 可 能 遇 到 困难 。 有 时 能 
够 绕 过 过 滤 设 备 ， 甚 至 导致 它们 崩溃 
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扫描 方法 


工作 方式 


续 表 
应 用 


Ident 检索 


文件 传输 协议 
(FTP) 代理 
扫描 


Os 检测 


建立 TCP 连接 (三 方 握手 ) 之 后 发 出 Ident 
请 求 , 以 确定 哪 一 个 账户 与 监听 端口 进程 
相关 联 

RFC for FTP 设计 了 代理 类 型 的 服务 ， 可 
使 用 户 与 FTP 服务 器 建立 连接 并 请 求 
FTP 服务 器 启动 面向 任何 其 他 系统 的 文 
件 传输 。 FTP 代理 扫描 利用 这 种 设计 缺陷 
来 代理 与 其 他 系统 的 端口 连接 请 求 


UDP 是 一 种 无 连接 协议 ,这 意味 着 发 送 系 
统 不 需要 从 目标 系统 得 到 响应 .执行 UDP 
扫描 的 系统 只 会 从 非 监听 端口 收 到 响应 


OS 检测 的 执行 方式 有 多 种 ， 但 最 准确 的 
方式 通常 是 将 从 设备 收 到 的 TCP 响应 与 
已 知 系统 类 型 列表 相 比 较 。 用 于 确定 主机 
信息 的 一 些 组 件 包括 TTL、TCP 序列 号 、 

分 段 、FIN 和 ACK 响应 、 未 定义 的 标志 响 
应 、 窗 口 大 小 、ICMP 响应 及 多 个 TCP 选项 


此 类 扫描 不 能 识别 监听 端口 ， 但 能 够 识别 账 
户 及 其 相关 服务 


可 能 在 扫描 隐藏 在 防火 墙 背 后 的 系统 时 有 
用 。 能 够 发 现 允许 这 种 扫描 的 系统 这 一 点 本 
身 就 是 一 个 漏洞 ， 因 为 它 会 向 安全 策略 或 安 
全 设备 不 允许 的 位 置 传输 通信 


UDP 端口 通常 不 会 被 安全 设备 过 滤 掉 , 或 仅 
被 有 限 过 滤 。UDP 服务 DNS 和 简单 网 络 管 
理 协 议 (SNMP) 没有 得 到 安全 的 实现 ， 而 
且 通 常 被 允许 通过 网 络 周边 ， 即 通过 通信 子 网 
进入 资源 子 网 。 可 能 显示 打开 的 大 多 数 端口 
OS 检测 扫描 通常 会 绕 过 许多 过 滤 设 备 ， 但 
代理 防火 墙 除外 ， 因 为 防火 墙 就 是 实际 发 出 
响应 的 设备 。 可 能 会 返回 多 个 OS 类 型 ， 而 
且 结果 可 能 不 准确 。 防 火 墙 或 路 由 器 通常 会 
拒绝 基于 ICMP 的 OS 检测 扫描 


1.11.2 ”利用 技术 漏洞 型 攻击 


攻击 者 会 企图 利用 环境 中 的 技术 漏洞 ， 以 获取 对 系统 的 访问 权限 并 提升 其 权限 。 有 许 
多 可 以 实现 的 方法 。 在 本 节 中 ， 列 出 了 一 些 主要 方法 ， 并 介绍 了 相应 的 防范 措施 。 

1. 会 话 动 持 

攻击 者 使 用 会 话 劫持 工具 来 中 断 、 中 止 或 窃取 正在 进行 的 会 话 。 这 些 攻击 类 型 重点 针 
对 基于 会 话 的 应 用 程序 ， 许 多 会 话 劫持 工具 能 同时 查看 多 个 会 话 。 防 范 会 话 劫持 保护 体系 
结构 的 最 佳 办 法 就 是 进行 加 密 。 

2. URL 字符 串 攻 击 


攻击 者 开始 将 重点 放 在 遍历 端口 80 的 攻击 上 。 其 中 一 种 攻击 形式 就 是 创建 一 个 利用 
Unicode Translation Format-8 (UTF-8) 编码 的 正和 斜 杠 或 反 斜 杜 (/ 或 \) 版 本 的 URL 字符 串 ， 
例如 %c0%af 就 是 这 种 字符 串 。 这 种 类 型 的 攻击 可 使 攻击 者 遍历 远程 系统 目录 结构 ， 获 取 
宝贵 的 服务 器 或 网 络 信息 ， 甚 至 远程 运行 一 个 程序 。 

3. 攻击 安全 账户 管理 器 文件 

通过 攻击 安全 账户 管理 器 (SAM ) 文件 , 攻击 者 有 可 能 获取 对 用 户 名 和 密码 的 访问 权 。 
一 旦 攻击 者 能 够 访问 该 信息 , 就 能 利用 这 些 信息 获取 明显 合法 的 网 络 资源 访问 权限 。 因此， 
管理 SAM 文件 是 防范 攻击 的 一 个 重要 步 又。 管理 方法 包括 : 

。 利用 系统 密 钥 (syskey) 在 SAM 文件 上 启用 附加 加 密 。 
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。 通过 某 项 策略 禁用 局 域 网 (LAN) Manager 身份 验证 及 LAN Manager 散 列 存储 ， 并 
利用 其 他 形式 的 身份 验证 (比如 证 书 和 生物 检测 )。 
。 建立 并 执行 复杂 的 密码 策略 。 


4. 缓冲 区 溢出 


缓冲 区 溢出 是 攻击 者 为 获取 系统 访问 权限 所 采用 的 一 种 非常 危险 的 技术 。 攻 击 者 们 会 
企图 将 过 多 信息 放 进 一 个 容器 ， 以 观察 它们 能 否 获 得 以 有 意义 的 方式 执行 的 溢出 。 比 如 ， 
如 果 被 攻击 的 程序 没有 执行 适当 的 边界 检查 ， 那 么 它 就 会 溢出 ， 并 允许 攻击 者 执行 他 们 选 
择 的 功能 。 这 些 溢出 通常 在 具有 完全 管理 权限 的 本 地 系统 账户 的 环境 内 运行 。 

这 些 攻击 最 常见 的 类 型 就 是 基 填 堆栈 的 缓冲 区 溢出 攻击 。 洪 出 会 改写 整个 堆栈 ， 包 括 
指针 。 攻 击 者 通过 调整 放 在 溢出 中 的 数据 量 来 利用 这 一 弱点 ， 然 后 发 送 执行 某 种 命令 的 计 
算 机 特定 代码 和 返回 指针 的 一 个 新 地 址 ， 最 后 在 系统 返回 到 堆栈 时 ， 利 用 该 地 址 (回头 指 
向 堆栈 ) 执行 他 们 自己 的 程序 指令 。 


5. 拒绝 服务 攻击 


攻击 者 不 一 定 需 要 有 系统 访问 权限 才能 产生 巨大 问题 。 拒 绝 服务 (Denial of Service， 
DoS) 攻击 会 耗 尽 系统 资源 ， 导 致 它 不 能 执行 正常 的 功能 。 例 如 ， 用 尽 某 一 服务 器 上 的 所 
有 网 络 连 接 ， 或 让 邮件 服务 器 必须 处 理 超过 其 设计 处 理 能 力 的 大 量 邮件 。DoS 攻击 可 能 是 
某 一 直接 攻击 的 结果 ， 也 可 能 是 病毒 、 里 虫 或 特洛伊 木马 导致 的 。 

分 布 式 拒绝 服务 (Distributed Denial of Service，DDoS ) 攻击 会 在 攻击 前 在 不 同 计算 机 
上 安装 僵尸 程序 ， 以 后 向 这 些 僵 尸 程序 发 出 命令 ， 再 由 僵尸 程序 代表 攻击 者 发 动 攻击 ， 因 
而 隐藏 了 其 踪迹 。 伪 尸 程序 本 身 通常 是 利用 蠕虫 安装 的 。 

DDoS 攻击 的 真正 危险 在 于 攻击 者 使 用 许多 无 率 的 计算 机 作为 主机 来 控制 发 动 攻击 的 
其 他 僵尸 程序 。 当 被 攻击 的 系统 试图 追溯 攻击 时 ， 它 会 收 到 由 一 系列 僵尸 程序 产生 的 一 组 
哄骗 地 址 。 


6. 后 门 攻击 


为 防止 攻击 者 下 载 系统 信息 ， 必 须 防范 攻击 者 利用 特洛伊 木马 在 系统 上 安装 后 门 。 这 
通常 在 客户 计算 机 上 较为 严重 ， 而 不 是 在 得 到 全 面 保 护 的 服务 器 上 。 但 是 ， 攻 击 者 可 以 利 
用 这 种 机 制 攻击 用 户 或 管理 员 的 工作 站 ， 然 后 利用 该 系统 对 周边 网 络 上 发 动 攻击 。 可 以 采 
用 以 下 方法 来 防止 。 

。 运行 完整 的 病毒 扫描 ， 并 用 最 新 的 特征 文件 及 时 更 新 防 病毒 工具 。 

。 当心 通过 电子 邮件 发 送 的 所 有 内 容 ， 并 限制 未 知 附件 的 执行 。 

。 运行 Internet Security Scanner (ISS) 扫描 程序 等 工具 ， 扫 描 整 个 网 络 是 否 存在 攻击 

者 工具 ， 例 如 Back Orifice， 确 保 扫 描 程序 数据 库 得 到 及 时 更 新 。 

。 仅 接 受 已 签名 的 Microsoft ActiveX 控件 。 


7. 恶意 代码 


任何 可 执行 代码 都 是 一 个 潜在 的 风险 。 恶 意 代码 的 形式 可 以 是 在 本 单位 内 和 单位 与 单 
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位 之 间 扩 散 的 破坏 性 代码 (比如 通过 电子 邮件 ), 也 可 能 是 从 本 单位 内 部 怀 有 恶意 而 故意 运 
行 的 代码 。 


恶意 代码 可 以 概括 地 分 为 如 下 4 种 主要 类 型 。 


。 其 他 恶意 代码 。 
1.12 网 络 安全 的 关键 技术 


1， 防 电磁 辐射 

防 电磁 辐射 分 为 对 传导 发 射 的 防护 和 对 辐射 的 防护 。 

2. 访问 控制 技术 

主要 指 网 络 、 数 据 库 、 操 作 系统 、 应 用 程序 和 远程 拨 入 等 的 访问 控制 。 
3. 安全 鉴别 技术 


安全 鉴别 技术 包括 如 下 几 方 面 。 

。 网 络 设备 的 鉴别 ， 基 于 VPN 设备 和 IP 加 密 机 的 鉴别 。 

。 应 用 程序 中 的 个 人 身份 鉴别 。 

。 远程 拨号 访问 中 心 加 密 设备 (线路 密码 机 ) 与 远程 加 密 设 备 (线路 密码 机 ) 的 鉴别 。 
。 密码 设备 对 用 户 的 鉴别 。 


4. 权限 控制 
权限 控制 包括 操作 系统 、 数 据 库 的 访问 、 密 码 设备 管理 和 应 用 业务 软件 操作 的 权限 


控制 。 


5. 通信 保密 


通信 保密 包括 如 下 内 容 。 
。 中 心 网 络 中 采用 卫 加 密 机 进行 加 密 。 
。 远程 拨号 网 络 中 采用 数据 密码 机 进行 线路 加 密 。 


6. 数据 完整 性 
使 用 消息 完整 性 编码 (Message Integrity Code，MIC) 是 一 种 HASH 函数 ， 用 来 计算 


信息 的 摘要 。 


7. 实现 身份 鉴别 


可 利用 : 
。 数字 签名 机 制 。 
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。 消息 鉴别 码 。 

。 校 验 等 。 

。 口令 字 。 

。 智能 卡 。 

。 身份 验证 服务 ， 包 括 Kerberos 和 X.509 目录 身份 验证 。 
8. 安全 审计 


采用 专用 、 通 用 设备 相 结合 的 方式 ， 从 以 下 几 个 方面 着 手 : 
。 数据 库 /操作 系统 的 审计 。 

。 防火 墙 的 进出 数据 审计 。 

。 应 用 业务 软件 /平台 (如 Lotus 等 ) 的 审计 安全 备份 。 


9. 病毒 防范 及 系统 安全 备份 

包括 病毒 的 检测 和 防范 ， 常 规 的 系统 安全 备份 。 

10. 加 密 方法 

公共 密 钥 加 密 和 专用 密 钥 加 密 ， 后 又 出 现 了 椭圆 曲线 密码 学 。 
11. 网 络 的 入 侵 检测 和 漏洞 扫描 


入 侵 检测 的 5 种 技术 。 
。 基于 应 用 的 监控 技术 。 
。 基于 主机 技术 的 监控 。 
。 基于 目标 的 监控 技术 。 
。 基于 网 络 的 监控 技术 。 
。 综合 上 述 4 种 方法 进行 监控 。 
漏洞 检测 的 5 种 技术 。 
基于 应 用 的 检测 技术 。 
基于 主机 的 检测 技术 。 
基于 目标 的 检测 技术 。 
基于 网 络 的 检测 技术 。 
。 综合 上 述 4 种 方法 进行 检测 。 
注意 : 具体 实现 与 网 络 拓扑 结构 有 关 。 一 般 系统 在 网 络 系统 中 可 设计 为 两 个 部 分 : 安 
全 服务 器 和 侦 测 代理 。 分 布 在 网 上 的 代理 大 体 上 有 三 种 : 主机 侦 测 代理 、 网 络 设备 侦 测 代 
理 和 公用 服务 器 侦 测 代理 。 


12. 应 用 系统 安全 
总 体 思想 是 利用 安全 PC 卡 、PC 安全 插 卡 来 实现 所 有 应 用 的 安全 保密 。 
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13. 文件 传送 安全 
要 求 对 等 实体 鉴别 、 数 据 加 密 、 完 整 性 检验 和 数字 签名 。 
14. 邮件 安全 


邮件 加 密 、 数 字 签 名 和 利用 安全 PC 卡 。 


1.13 保证 网 络 安全 的 措施 


保证 网 络 安全 的 措施 一 般 包括 如 下 几 种 。 
1. 防火 墙 


防火 墙 是 一 种 防御 技术 ， 它 在 网 络 安全 中 是 不 可 缺少 的 。 它 像 一 道 防盗 门 ， 把 内 部 网 
和 外 部 网 分 隔 开 来 ， 转 发 可 信 的 分 组 数据 包 ， 丢 弃 可 疑 的 数据 包 。 将 在 第 8 章 中 详细 讲述 
防火 墙 。 


2. 身份 认证 


身份 认证 是 一 致 性 验证 的 一 种 ， 验 证 (identification〉 是 建立 一 致 性 证 明 的 一 种 手段 。 
身份 验证 主要 包括 验证 依据 、 验 证 系统 和 安全 要 求 。 


3. 加 密 


加 密 是 通过 对 信息 的 重新 组 合 ， 使 得 只 有 收发 双方 才能 解码 还 原 信息 。 传 统 的 加 密 系 
统 是 以 密 钥 为 基础 的 ， 这 是 一 种 对 称 加 密 ， 也 就 是 说 ， 用 户 使 用 同一 个 密 钥 加 密 和 解码 。 
目前 ， 随 着 技术 的 进步 ， 加 密 已 被 集成 到 系统 和 网 络 中 ， 如 Intemet Engineering Task 
Fore， 正 在 发 展 的 下 一 代 网 际 协议 Pv6。 硬 件 方面 ，Intel 公司 也 在 研制 用 于 PC 和 服务 器 
主板 的 加 密 协 处 理 器 。 按 作用 不 同 ， 数 据 加 密 技 术 主要 分 为 数据 传输 、 数 据 存储 、 数 据 完 
整 性 的 鉴别 及 密 钥 管理 技术 4 种 。 

1) 数据 传输 加 密 技术 

目的 是 对 传输 中 的 数据 流 加 密 ， 常 用 的 方针 有 线路 加 密 和 端 到 端 加 密 两 种 。 前 者 侧重 
于 线路 上 而 不 考虑 信 源 与 信 宿 ,对 保密 信息 通过 各 线路 采用 不 同 的 加 密 密 钥 提 供 安 全 保护 。 
后 者 则 指 信息 由 发 送 端 自动 加 密 ， 并 进入 TCP/IP 数据 包 回 封 ， 然 后 作为 不 可 阅读 和 不 可 
识别 的 数据 经 过 因特网 ， 这些 信息 一 旦 到 达 目 的 地 , 将 被 自动 重组 、 解 密 ， 成 为 可 读数 据 。 
2) 数据 存储 加 密 技术 

目的 是 防止 在 存储 环节 上 的 数据 失 密 ， 可 分 为 密 文 存储 和 存 取 控制 两 种 。 前 者 一 般 是 
通过 加 密 算法 转换 、 附 加 密码 和 加 密 模块 等 方法 实现 ， 后 者 则 是 对 用 户 资格 加 以 审查 和 限 
制 ， 防 止 非法 用 户 存 取 数 据 或 合法 用 户 越权 存 取 数据 。 

3) 数据 完整 性 鉴别 技术 

目的 是 对 介入 信息 的 传送 、 存 取 和 处 理 的 人 的 身份 和 相关 数据 内 容 进 行 验证 ， 达 到 保 
密 的 要 求 。 一 般 包 括 口令 、 密 钥 、 身 份 和 数据 等 项 的 鉴别 ， 系 统 通过 对 比 验证 对 象 输入 的 
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特征 值 是 否 符合 预先 设 定 的 参数 ， 实 现 对 数据 的 安全 保护 。 

4) 密 钥 管理 技术 

为 了 数据 使 用 的 方便 ， 数 据 加 密 在 许多 场合 集中 表现 为 密 钥 的 应 用 ， 因 此 密 钥 往往 是 
保密 与 窃 密 的 主要 对 象 。 密 钥 的 媒体 有 磁卡 、 磁 带 、 磁 盘 和 半导体 存储 器 等 。 密 钥 的 管理 
技术 包括 密 钥 的 产生 、 分 配 保存 、 更 换 与 销毁 等 各 环节 上 的 保密 措施 。 


4. 数字 签名 


大 多 数 电子 交易 采用 两 个 密 钥 加 密 : 密 文 和 用 来 解码 的 密 钥 一 起 发 送 ， 而 该 密 钥 本 身 
又 被 加 密 ， 还 需要 另 一 个 密 钥 来 解码 。 这 种 组 合 加 密 被 称 为 数字 签名 ， 它 有 可 能 成 为 未 来 
电子 商务 中 首选 的 安全 技术 。 

美国 政府 的 加 密 标准 DSS (Digital Signature Standard)， 使 用 了 Secure Hash 运算 法 则 。 
用 该 法 则 对 信息 进行 处 理 ， 可 得 到 一 个 160 位 的 数字 ， 把 这 个 数字 以 某 种 方式 与 信息 的 密 
钥 组 合 起 来 ， 从 而 得 到 数字 签名 。 完 整 性 是 在 数据 处 理 过 程 中 ， 在 原来 数据 和 现行 数据 之 
间 保 持 完全 一 致 的 证 明 手段 。 

现在 比较 普遍 采用 的 签名 算法 有 RSA 和 DSS。 


5. 内 容 检查 


即使 有 防火 墙 、 身 份 认证 和 加 密 , 人 们 仍然 担心 遭 到 病毒 的 攻击 。 这些 病毒 通过 E-mail 
或 用 户 下 载 的 Java 和 ActiveX 小 程序 (Applet) 进行 传播 。 带 病毒 的 Applet 激活 后 ， 又 可 
能 会 自动 下 载 别 的 Applet。 现 有 的 反 病毒 软件 可 以 清除 E-mail 病毒 ， 而 对 付 ActiveX 病毒 
也 有 一 些 办 法 ， 如 完善 防火 墙 , 使 之 能 够 监控 Applet 的 运行 , 或 者 给 Applet 加 上 标签 ,让 
用 户 知道 它们 的 来 源 。 


6. 存 取 控 制 


存 取 控 制 规定 何 种 主体 对 何 种 客体 具有 何 种 操作 权力 。 存 取 控 制 是 内 部 网 安全 理论 的 
重要 方面 ， 主 要 包括 人 员 限 制 、 数 据 标识 、 权 限 控 制 、 控 制 类 型 和 风险 分 析 。 


7. 安全 协议 


安全 协议 的 建立 和 完善 是 安全 保密 系统 走 上 规范 化 、 标 准 化 道路 的 基本 因素 。 根 据 计 
算 机 专用 网 多 年 的 经 验 ， 一 个 较为 完善 的 内 部 网 和 安全 保密 系统 ， 至 少 要 实现 加 密 机 制 、 
验证 机 制 和 保护 机 制 。 目 前 ， 已 开发 并 应 用 的 有 如 下 几 种 协议 。 

1) 加 密 协 议 

加 密 协 议 有 两 个 要 素 ， 一 是 能 把 保密 数据 转换 成 公开 数据 ， 在 公用 网 中 自由 发 送 :二 
是 能 用 于 授权 控制 ， 无 关 人 员 无 法 解读 。 因 此 ， 数 据 要 划分 等 级 ， 算 法 也 要 划分 等 级 ， 以 
适应 多 级 控制 的 安全 模式 。 

2) 身份 验证 协议 

身份 验证 是 上 网 的 第 一 道 关口 ， 且 与 后 续 操作 相关 ， 因 此 身份 验证 至 少 应 包括 验证 
协议 和 授权 协议 。 人 员 要 划分 等 级 ， 不 同等 级 具有 不 同 的 权限 ， 以 适应 多 级 控制 的 安全 
模式 。 
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3) 密 钥 管理 协议 

包括 密 钥 的 生成 、 分 发 、 存 储 、 保 护 和 公证 等 协议 ， 保 证 在 开放 环境 中 灵活 地 构造 各 
种 封闭 环境 。 根 据 因 特 网 的 特点 ， 密 钥 分 离 度 在 网 上 要 做 到 端 、 级 和 个 人 级 ， 在 库 中 要 做 
到 字 节 级 。 

4) 数据 验证 协议 

包括 数据 压缩 、 数 据 验证 和 数字 签名 。 数 字 签名 要 同时 具有 端 、 级 签名 和 个 人 签名 的 
功能 。 

5) 安全 审计 协议 

包括 与 安全 有 关 的 事件 ， 包 括 事件 的 探测 、 收 集 和 控制 ， 能 进行 事件 责任 的 追查 。 

6) 防护 协议 

除了 采用 防 病毒 卡 、 干 扰 仪 等 物理 性 防护 措施 外 ， 还 对 用 于 信息 系统 自身 保护 的 数据 
(审计 表 等 ) 和 各 种 秘密 参数 〈 用 户口 令 、 密 钥 等 ) 进行 保护 ， 以 增强 反 入 侵 功能 。 


8. 智能 卡 技术 


与 数据 加 密 技术 紧密 相关 的 另 一 项 技术 则 是 智能 卡 技术 。 亡 谓 智能 卡 就 是 密 钥 的 一 种 
媒体 ， 一 般 就 像 信 用 卡 一 样 ， 由 授权 用 户 所 持 有 并 由 该 用 户 赋予 它 一 个 口令 或 密码 字 ， 该 
密码 与 内 部 网 络 服务 器 上 注册 的 密码 一 致 。 当 口令 与 身份 特征 共同 使 用 时 ， 智 能 卡 的 保密 
性 能 还 是 相当 有 效 的 。 


1.14 网 络 的 安全 策略 


纵深 防御 策略 可 以 保护 资源 免 受 来 自 外 部 和 内 部 的 威胁 。 因 为 网 络 安全 是 各 个 部 分 安 
全 的 总 和 ， 所 谓 纵深 防御 ， 就 是 以 网 络 周边 为 起 点 ， 从 外 部 路 由 器 一 直到 资源 子 网 中 所 在 
的 位 置 中 所 有 相关 层面 的 保护 。 

通过 多 层 安 全 保护 ， 可 以 确保 即使 某 一 环节 遭 到 破坏 ， 而 其 他 层 仍 能 提供 保护 资源 所 
需 的 安全 。 如 图 1-4 所 示 为 一 个 有 效 的 纵深 防御 策略 。 


下 面 介绍 图 1-4 中 的 各 个 组 成 部 分 。 
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1.14.1 数据 防御 


一 些 公司 及 科研 院 所 最 宝贵 的 资源 之 一 是 数据 。 如 果 这 些 数 据 落 入 竞争 者 的 手中 ， 或 
者 数据 被 破坏 ， 那 么 后 果 是 不 堪 设 想 的 。 

对 于 客户 端 来 说 ， 存 储 在 本 地 的 数据 更 易 受 攻击 。 如 果 罪 犯 窃取 了 一 台 笔记 本 式 计算 机 ， 
即使 他 无 法 登录 到 该 系统 ， 也 可 将 其 中 的 数据 备份 ， 重 新 存储 到 其 他 地 方 并 读 取 这 些 数据 。 

有 多 种 方法 可 以 保护 数据 ， 包 括 使 用 加 密 文 件 服务 (EFS) 或 第 三 方 加 密 工具 对 数据 
进行 加 密 及 修改 文件 中 的 自由 访问 控制 列表 。 


1.14.2 ”应 用 程序 防御 


作为 防御 策略 中 的 另 一 层 ， 应 用 程序 增强 策略 是 所 有 安全 模型 的 重要 部 分 。 应 用 程序 
存在 于 系统 环境 中 ， 因 此 每 一 个 应 用 程序 ， 在 获准 应 用 于 产品 环境 之 前 ， 都 应 在 测试 环境 
中 对 它们 进行 严格 的 安全 达标 测试 。 


1.14.3 ”主机 防御 


对 环境 中 的 每 一 台 主机 进行 评估 ， 然 后 制定 相应 的 策略 以 限制 每 台 服 务 器 仅 能 执行 规 
定 的 任务 。 这 一 做 法 相当 于 又 设置 了 一 道 安全 屏障 ， 攻 击 者 要 想 制造 任何 破坏 就 址 要 先 逾 
越 这 道 屏障 。 

方法 之 一 是 根据 每 台 服务 器 所 包含 的 数据 的 分 类 和 类 型 制定 各 自 的 策略 。 例 如 ， 某 一 
单位 的 策略 可 以 规定 所 有 的 Web 服务 器 都 是 面向 公众 的 , 因此 ， 在 这 些 服务 器 上 只 能 包含 
公共 信息 。 企 业 的 数据 库 服务 器 被 视 为 公司 机 密 ， 这 意味 着 要 不 惜 一 切 代价 保护 这 些 服务 
器 中 的 信息 。 


1.14.4 网 络 防御 


网 络 防御 主要 是 转发 网 络 上 的 合法 通信 并 阻止 所 有 不 需要 的 通信 。 可 以 使 用 IPSec 对 
内 部 网 络 上 的 数据 包 进 行 加 密 ， 并 将 SSL 用 于 外 部 通信 。 


1.14.5 周边 防御 


保护 网 络 周边 是 抵御 外 界 攻击 的 最 重要 内 容 。 如 果 网 络 周边 很 安全 ， 那 么 内 部 网 络 就 
会 得 到 保护 ， 不 会 遭受 外 部 攻击 。 防 火 墙 是 网 络 周边 防御 的 重要 组 成 部 分 。 安 装 一 道 或 多 
道 防火 墙 ， 以 确保 最 大 限度 地 减少 外 部 攻击 ， 并 利用 审计 和 入 侵 检测 功能 确保 自己 在 攻击 
发 生 后 及 时 发 现 情况 。 
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1.14.6 ”物理 安全 


把 物理 安全 作为 整体 安全 策略 的 基石 。 保 护 服 务 器 所 在 地 点 的 物理 安全 是 首要 任务 ， 
保护 范围 包括 服务 器 机 房 或 整个 数据 中 心 。 

作为 风险 管理 策略 的 组 成 部 分 ， 应 该 确定 适合 于 环境 的 物理 安全 级 别 。 可 以 采取 的 物 
理 安全 措施 包括 以 下 部 分 或 全 部 措施 : 

。 采取 物理 措施 保护 办 公 楼 的 所 有 区 域 (包括 钥匙 卡 、 生 物 检测 设备 和 安全 保卫 ) 。 
要 求 客人 在 到 达 时 登记 所 有 计算 设备 。 
要 求 所 有 员工 登记 他 们 所 拥有 的 任何 便携 式 设备 。 
在 将 数据 存储 设备 从 办 公 楼 搬 走 之 前 ， 都 要 对 它们 一 一 进行 登记 。 
将 服务 器 放 在 仅 有 管理 员 才 允许 进入 的 单独 房间 等 。 


1.15 ”网络 攻击 常用 工具 


当 网 络 管理 员 懂 得 常用 攻击 工具 的 功能 和 使 用 时 ， 就 更 能 知己 知 彼 ， 制 定 更 佳 的 安全 
策略 来 应 对 相应 的 攻击 工具 。 下 面 分 别 进行 介绍 。 

任何 成 功 的 攻击 都 需要 首先 进行 嗅 探 sniffing) 或 端口 扫描 (port scanning)。 首 先 介 
绍 在 第 一 步 中 使 用 的 网 络 攻击 工具 。 

网 络 嗅 探 的 常用 工具 为 Ethereal， 它 是 开放 源 代码 的 软件 ， 免 费 的 网 络 协议 检测 程序 ， 
支持 UNIX、Windows。 感 兴趣 的 读者 可 以 从 www.Ethereal.com/ 网 站 或 国内 的 http://www. 
52z.com/Down/5664.html 中 进行 下 载 。Ethereal 是 最 流行 的 网 络 协议 分 析 器 ， 主 要 用 于 网 络 
中 数据 包 的 监控 ， 并 且 它 依附 于 相应 的 网 络 。 可 以 对 网 络 中 大 部 分 协议 的 数据 包 进 行 追 
踪 ， 包 括 每 一 个 包 流 向 和 内 容 等 ， 可 以 方便 地 查看 及 监控 TCP 会 话 动态 。 具体 的 使 用 过 程 
如 下 。 

(1) 首先 需要 安装 winpcap， 然 后 才能 使 用 Ethereal。winpcap 的 下 载 地 址 为 http:// 
netgroup.org， 或 者 是 国内 的 www.skycn.com 等 软件 下 载 网 站 。winpcap 是 用 于 Windows 环 
境 中 网 络 链 路 层 访 问 的 标准 工具 ， 可 以 捕获 通过 协议 栈 的 所 有 应 用 数据 包 ， 还 可 以 对 核心 
级 数据 包 进行 过 滤 ， 同 时 可 以 截获 远程 数据 包 。 

(2) 安装 Ethereal。 

(3) 启动 Ethereal 以 后 ， 选 择 菜单 栏 中 的 Capture 一 Start 命令 。 图 1-5 是 Ethereal 中 显 
示 的 截获 数据 包 。 

(4) 一 般 还 需要 设置 Capture Options 对 话 框 中 的 各 选项 ， 如 图 1-6 所 示 。 在 Interface 
下 拉 列 表 中 ， 选 择 需 要 指定 的 接口 ， 即 网 卡 。 其 余 的 可 以 选择 默认 。 

(5) 如 果 需 要 设置 包 过 滤器 ， 也 就 是 截获 用 户 所 需要 类 型 的 数据 包 ， 可 以 在 Filter 中 
输入 数据 包 的 类 型 ， 例 如 截获 TCP 数据 包 ， 则 在 Filter 文本 框 中 输入 tcp， 然 后 单 击 Apply 
按钮 。 截 获 的 数据 包 如 图 1-7 所 示 。 文 本 框 中 输入 值 的 内 容 用 C 语言 来 描述 。 读 者 可 以 查 
询 其 手册 进行 进一步 学 习 。 


兰 
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I Realtek RIL8139 Fanily Fast Ethernet Adapter (Microsoft”s Packet Scheduler) : 
Ele Edt Vew Go Capture Anahze Statistics Help 


转 记 他 创 他 巴 国 x 包 吕 | 


外 人 定名 守明 | 国 国 |Q QQ 


” Expression.. Clear Apply 


| woweol | po_ 


202.206.197.99 
202.206.197.99 
cache. ctnt. com. cn 
cache. ctnt. com. cn 
NortelNe_f8:db:81 
NortelNe_f8:db:81 
202.206.197.99 
NortelNe_f8:db:81 
NortelNe_f: 
NortelNe_f8:db: 
202.206.197.99 
202.206.197.99 
202.206.197.99 
202.206.197.99 


45 14.212400 
46 14.212468 
47 14.236707 
48 14.237087 
49 14.403773 
50 16.419222 
51 17.187635 
52 18.434666 
53 18.492500 
54 18.493316 
55 20.164325 
56 20.164373 


Spannin 
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Ethernet II, Src: 00:e0:4c:46:16:9d, Dst: 


Ter rer 
cache. ctnt. com. cn 
cache. ctnt. com. cn 
202.206.197.99 
202.206.197.99 


spanning-tree-Cfor 
66.199.250.170 

Spanning-tree-(for 
Bay-Networks-(Syno 
Bay-Networks-Csyno 


DNS 
DNS 
DNS 
DNS 
STP 
STP 
TCP 


I Eq eR 
Standard query PTR 35.197.28 
Standard query PTR 172.90.23' 
Standard query response, No : 
Standard query response, ser’ 
Conf. Root = 32768/00:03:42:" 
Conf. Root = 32768/00:03:42: 

2394 > 8911 [SYN] Seq=0 Ack=! 
Conf. Root = 32768/00:03:42: 

SONMP - Segment Hello 

SoNMP - FlatNet Hello 


66.199.250.170 
60.28.197.35 
219.239.90.172 
72.51.37.237 
Spanning-tree-(for 
Spanning-tree-(for 


2394 > 8911 [SYN] Seq=0 Ack=! 
2391 > 28221 [SYN] Seq=0 A 
2392 > 28221 [SYN] Se 


Conf. Root = 32768/00: 03:42 


00:e0:fc:3d:10:e3 


Internet Protocol, Src Addr : 202.206.197.99 (202.206.197.99), Dst Addr: 5 199.250.170 ( 加 


> 


< Sb ca ce 5 
0a 间 00 人 i 
0 02 04 05 b4 01 01 


: Capture Options 


Capture 


42 
> 


“LF. =k 
< CB. 


02 


Interface: [Realtek RTL8139 Family Fast Ethemet Adapter Microsofts Pac 


IP address: 202.206.197.99 


Link-layer headeriype. | Ethemet ~ |Buffer si 


回 Capture packets in promiscuous mode 
口 Limit each packetto 5 二 bytes 


[Gapture Fiter] | 


Capture File(s) 


File: 


| (Browse.] 


口 use multiple fles 


Display Options 
回 Update list of packets in real time 


| Nex fille gvery 1 


megabyte(s) ~ 


回 Automatic scrolling in live capture 


JNexfieerey [ minute(s) 


口 Hide capture info dialog 


|S es 
fe(s) 


器 Ring burier with 
] Blop capture afier 


megabytels) 


Name Resolution 
回 Enable MAC name resolution 


回 Enable network name resolution 


minuie(s) 


回 Enable transport name resolution 


1-6 


计算 机 网 络 安全 管理 (第 2 版 ) 
24 


Ele Em Yaw Go Captue Mnayre SIanstcs Hep | 


芯 甸 恒久 他 折旧 x 名品 国 4 中 名 宣王 国 国 QQ 
or een oo wy 


No Time Bouree 


rotocol inf 


59 13. 563314 2D2.206.197. 


TCP 2579 > 28221 [SYN] Seq=0 Ack=0 
TEP 2590 > 28221 [SYN] seq-0 Ack-0 
TP 。 2581 > 8899 [SYN] seq=0 Ack=0 v| 
TCP 2579 > 28221 [SYN] seq=0 Ack=0 
全 2 > se Acked 
TP > 0% [end Bee aso 
他 ?9 vy 

Tp 
人 a 


NM 
28 > EN sea-0 和 cg | 
Pp 2579 > 28221 [SYN] Seq=0 Ack=0 


TEP 2580 > 28221 [SYN] seq=0 Ack=0 
72.51.37.237 TP 2581 > 8899 [SYN] seq-0 Ack-0 y| 


B8388888838 


在 u 

Frane 6 C07 bytes on wire, 02 Dytes CapCuret 
Ethernet 11, Src; 00;e0,4c:46;16;9d, D5t; OO;e0:fc: 
Internet Protoco], Src Addr; 202,205.197.99 (202.2: 


四 
前 


本 Fr 
9 00 3065fb 40 60 80 66 c3 28 ca ce c5 63 42 <7 
0 Fa aa 0a 12 22 cf 1d 53 38 87 00 60 00 00 70 02 
30 FF fF c2 5F 00 0002 04 05 b4 01 01 0 
re Crime 5991 Byes000027 [ETREL TEXTE] 本 
图 1-7 


因为 Ethereal 是 数据 包 嗅 探 器 ， 它 只 是 收集 网 络 的 信息 ， 而 并 非 主动 进行 攻击 ， 本 身 
是 被 动 的 ， 所 以 人 们 很 难 检测 这 类 程序 。 

而 端口 扫描 是 主动 的 ， 常 用 的 工具 是 nmap， 感 兴趣 的 读者 可 以 从 www.insecure. 
org/nmap 网 站 下 载 ,此 工具 是 基于 Linux 和 UNIX 操作 系统 的 ,在 第 5 章 中 详细 介绍 了 nmap 
的 使 用 。 

另外 , 常用 的 应 用 程序 Nessus 也 是 用 于 扫描 Apache 的 漏洞 的 。 可 以 在 www.nessus.org 
网 站 上 下 载 。 


在 现代 社会 ， 随 着 因特网 的 发 展 ， 人 们 越 来 越 多 地 在 网 络 上 从 事 个 人 事务 处 理 和 商业 
活动 ， 网 络 已 经 发 展 成 为 人 们 日 常生 活 和 工作 的 重要 工具 。 如 使 用 网 络 发 送 电子 邮 件 进行 
电子 购物 、 资 金 转账 、 发 布 公告 和 接收 重要 数据 等 。 信 息 安 全 性 也 变 得 越 来 越 重要 ， 主 要 


表现 有 以 下 4 个 特性 。 

。 保密 性 〈confidentiality ) : 保证 信息 不 泄露 给 未 经 授权 的 任何 人 。 

。 完整 性 〈integrity) : 防止 信息 被 未 经 授权 的 人 自 改 。 

。 可 用 性 (availability) : 保证 信息 和 信息 系统 确实 为 授权 者 所 用 。 

。 可 控 性 〈controllability) : 对 信息 和 信息 系统 实施 安全 监控 ， 防 止 非法 利用 信息 和 

信息 系统 。 

加 密 技 术 作为 一 种 主动 的 防卫 手段 ， 是 网 络 安全 最 有 效 的 技术 之 一 。 一 个 加 密 网 络 ， 
不 但 可 以 防止 非 授 权 用 户 的 搭 线 窃听 和 入 网 ， 而 且 也 是 对 付 恶 意 软件 的 有 效 方法 。 密 码 实 
现 的 是 一 种 变换 ， 利 用 密码 变换 保护 信息 秘密 是 密码 最 原始 的 能 力 ， 随 着 信息 技术 发 展 起 
来 的 现代 密码 学 ， 不 仅 被 用 于 解决 信息 的 保密 性 ， 而 且 也 用 于 解决 信息 的 完整 性 、 可 用 性 
和 可 控 性 。 密 码 是 解决 信息 安全 的 最 有 效 手段 ， 密 码 技术 是 解决 信息 安全 的 核心 技术 。 在 
本 章 中 将 对 加 密 技术 的 算法 及 密 钥 管理 机 制 等 进行 详细 的 介绍 。 


2.1 密码 算法 


密码 算法 是 一 个 函数 变换 ， 要 加 密 的 信息 称 为 明文 ， 经 过 以 密 钥 为 参数 的 函数 加 以 转 
换 。 加 密 过 程 输出 的 即 是 密 文 。 加 密 公式 可 表示 为 C=EK(P)， 其 中 C 代表 密 文 ， 即 加 密 后 
得 到 的 字符 序列 ; P 代表 明文 ， 即 需要 加 密 的 字符 序列 ，E 代表 加 密 算 法 ; 天 表示 密 钥 ， 
是 秘密 选 定 的 一 个 字符 序列 。 

加 密 和 解码 的 技术 统称 为 密码 学 。 密 码 学 的 原则 是 “一 切 秘密 寓于 密 钥 之 中 ”， 算 法 
可 以 公开 。 当 加 密 完成 后 ， 可 以 将 密 文通 过 不 安全 渠道 送 给 收 信人 ， 只 有 拥有 解密 密 钥 的 
收 信人 可 以 对 密 文 进行 解密 ， 即 破译 得 到 明文 ， 密 钥 的 传递 必须 通过 安全 渠道 。 目 前 流行 
的 密码 算法 主要 有 DES、RSA、IDEA 和 DSA 等 。 

密码 算法 可 分 为 传统 密码 算法 和 现代 密码 算法 。 传 统 密码 算法 的 特点 是 加 密 和 解密 必 
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须 是 同一 密 钥 ， 如 DES 和 IDEA; 现代 密码 算法 将 加 密 密 钥 与 解密 密 钥 区 分 开 来 ， 且 只 有 
加 密 密 钥 事实 上 求 不 出 解密 密 钥 。 因 此 传统 密码 算法 又 称 对 称 密码 算法 (Symmetric 
Crypto-graphic Algorithms)， 现 代 密 码 算法 称 非 对 称 密码 算法 或 公 钥 密 码 算 法 (Public-Key 
Crypto-graphic Algorithms)， 是 由 Diffie 和 Hellman 在 1976 年 的 美国 国家 计算 机 会 议 上 提 
出 这 一 概念 的 。 按 照 加 密 时 对 明文 的 处 理 方式 ， 密 码 算法 又 可 分 为 分 组 密码 算法 和 序列 密 
码 算法 。 分 组 密码 算法 是 把 密 文 分 成 等 长 的 组 分 别 加 密 , 序列 密码 算法 是 一 位 一 位 地 处 理 ， 
用 已 知 的 密 钥 随机 序列 与 明文 按 位 异 或 。 
在 计算 机 系统 中 使 用 对 称 密 钥 密码 体制 已 有 多 年 ， 既 有 比较 简便 可 靠 的 、 久 经 考验 的 
方法 ， 如 以 DES (数据 加 密 标准 ) 为 代表 的 分 块 加 密 算法 ， 也 有 一 些 新 的 方法 ， 如 由 RSA 
公司 的 Rivest 研制 的 专 有 算法 RC2、RC4 和 RC5 等 。 其 中 RC2 和 RC5 是 分 块 加 密 算法 ， 
RC4 是 数据 流 加 密 算法 。 
密码 算法 主要 有 以 下 三 类 。 
。 对 称 加 密 算 法 : 这 种 技术 使 用 单一 的 密 钥 加 密 信息 。 
。 公 钥 加 密 算 法 〈 非 对 称 加 密 ) : 这 种 技术 使 用 两 个 密 钥 ， 一 个 公 钥 用 于 加 密 信 息 ， 
另 一 个 私 钥 用 于 解密 信息 。 

。 单项 函数 算法 : 这 个 函数 对 信息 进行 加 密 产 生 原始 信息 的 一 个 “签名 ”， 该 签名 被 
在 以 后 证 明 它 的 权威 性 。 这 一 般 也 称 为 数字 签名 。 

下 面 介绍 相关 的 算法 。 


2.2 对称 加 密 技 术 


对 称 加 密 算 法 是 一 种 传统 的 加 密 算法 ， 它 的 基本 原理 如 下 : 在 对 称 加 密 中 ， 数 据 信 息 
的 传送 、 加 密 及 接收 解密 都 需 用 到 一 个 共享 的 钥匙 ， 也 就 是 说 加 密 和 解密 共用 一 把 钥匙 。 

例如 ，Mary 想 送 一 张 订单 给 Jack，Mary 希望 只 有 Jack 可 以 订 它 。Mary 将 这 张 订单 
(里 面 的 文字 ) 用 一 个 加 密 钥 匙 加 密 之 后 ， 将 这 个 加 过 密 的 订单 (密码 文字 ) 寄 给 了 Jack， 
然后 Jack 用 同一 把 密 钥 对 订单 解密 。 

对 称 加 密 最 常用 的 一 种 方式 是 资料 加 密 标准 (DES )。 所 有 的 参与 者 都 必须 彼此 了 解 ， 
而 且 完 全 互相 信任 ， 因 为 他 们 每 一 个 人 都 有 一 份 钥匙 的 珍藏 副本 。 如 果 传 送 者 和 接收 者 位 
于 不 同 的 地 点 , 无 论 他 们 在 开 面对面 的 会 议 , 还 是 在 公共 传输 系统 (电话 系统 或 邮局 服务 ) 
上 ， 当 秘密 钥匙 被 互相 交换 时 ， 只 要 有 人 在 钥匙 传送 的 途中 窃听 或 者 拦截 ， 这 个 人 黑客) 
就 可 以 用 这 个 钥匙 来 读 取 所 有 正在 传输 的 已 加 密 的 数据 信息 ， 所 以 对 称 加 密 有 很 大 的 不 安 
全 性 ， 容 易 被 黑客 所 利用 。 


2.2.1 DES 算法 


在 对 称 算法 中 ，DES (Data Encryption Standard) 算法 是 最 著名 的 对 称 密 钥 加 密 算法 。 
DES 使 用 56 位 密 钥 对 64 位 的 数据 块 进行 加 密 ， 并 对 64 位 的 数据 块 进行 16 轮 编码 。 在 每 
轮 编码 时 ， 一 个 48 位 的 “每 轮 ” 密 钥 值 由 56 位 的 完整 密 钥 得 出 来 。 

DES 的 高 速 简便 性 使 之 流行 ， 但 是 在 现代 网 络 中 ， 信 息 安全 越 来 越 重要 ， 由 于 DES 
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只 有 一 个 共享 密 钥 , 在 网 络 传输 过 程 中 极 容易 被 截获 , 造成 在 网 络 信息 传输 中 的 不 安全 性 。 
所 以 现在 非 对 称 加 密 技 术 很 流行 ， 而 现代 网 络 中 往往 将 对 称 和 非 对 称 加 密 技 术 相 结合 ， 
到 取长补短 。 


2.2.2 三 重 DES 算法 
DES 的 缺点 就 是 密 钥 长 度 相对 比较 短 ， 因 为 人 们 并 没有 放弃 使 用 DES， 所 以 想 出 了 一 


个 解决 其 长 度 问 题 的 方法 ， 即 采用 三 重 DES。 这 种 方法 用 两 个 密 钥 对 明文 进行 三 次 加 密 ， 
假设 两 个 密 钥 是 密 钥 1 和 密 钥 2， 其 算法 的 步骤 如 图 2-1 所 示 。 


图 2-! 


。 用 密 钥 1 进行 DES 加 密 。 
。 用 密 钥 2 对 步骤 1 的 结果 进行 DES 解密 。 
。 对 步骤 2 的 结果 使 用 密 钥 1 进行 DES 加 密 。 


2.3 不 对 称 加 密 技术 


在 现代 网 络 的 各 种 加 密 技术 中 ， 不 对 称 加 密 技 术 公 钥 ) 是 其 中 一 颗 办 亮 的 明珠 ， 也 
是 最 流行 的 加 密 技术 ， 下 面 来 讲述 不 对 称 加 密 技术 。 

在 非 对 称 加 密 算法 中 ,利用 了 两 把 钥匙 : 一 把 钥匙 用 来 将 数据 信息 加 密 ， 而 用 另 一 把 
不 同 的 钥匙 来 解密 。 这 两 把 钥匙 之 间 具 有 数学 关系 ， 所 以 用 一 个 钥匙 加 密 过 的 资料 只 能 用 
相应 的 另 一 个 钥匙 来 解密 。 非 对 称 加 密 异 于 两 方 都 用 同一 个 密 钥 的 对 称 加 密 算法 ， 公 钥 密 
码 法 对 每 一 个 人 都 使 用 一 对 钥匙 ， 其 中 一 个 是 公开 的 ， 而 另 一 个 是 私密 的 。 公 和 钥 (公共 密 
钥 ) 可 以 让 其 他 人 知道 ， 而 私 钥 〈 专 用 密 钥 ) 则 必须 加 以 保密 ， 只 有 持 有 人 知道 它 的 存在 ， 
但 这 两 种 钥匙 都 必须 加 以 保证 防止 被 修改 。 也 就 是 每 个 人 都 有 一 对 密 钥 ， 一 个 私 钥 和 一 个 
公 钥 ， 它 们 在 数字 上 相关 ， 在 功能 上 不 同 。 一 个 密 钥 锁 上 的 用 另 一 个 可 以 打开 ， 此 技术 使 
用 两 个 加 密 的 密 钥 来 保证 会 话 的 安全 。 公 钥 可 以 给 任何 请 求 它 的 应 用 程序 或 用 户 ， 私 钥 只 
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有 它 的 所 有 者 知道 。 公 和 钥 加 密 算法 也 称 非 对 称 密 钥 算 法 ， 用 两 对 密 钥 : 一 个 公共 密 钥 和 一 
个 专用 密 钥 。 用 户 要 保障 专用 密 钥 的 安全 ， 公 共 密 钥 则 可 以 发 布 出 去 。 公 共 密 钥 与 专用 密 
钥 是 有 紧密 关系 的 ， 用 公共 密 钥 加 密 的 信息 只 能 用 专用 密 钥 解密 ， 反 之 亦 然 。 由 于 公 钥 算 
法 不 需要 联机 密 钥 服务 器 ， 密 钥 分 配 协议 简单 ， 所 以 极 大 地 简化 了 密 钥 管理 。 除 加 密 功 能 
外 ， 公 和 钥 系 统 还 可 以 提供 数字 签名 。 

公 钥 加 密 算法 中 使 用 最 广 的 是 RSA。RSA 使 用 两 个 密 钥 : 一 个 公共 密 钥 ， 一 个 专用 密 
钥 。 如 用 其 中 一 个 加 密 ， 则 可 用 另 一 个 解密 ， 密 钥 长 度 从 40 一 2048 位 可 变 。 加 密 时 也 把 明 
文 分 成 块 ， 块 的 大 小 可 变 ， 但 不 能 超过 密 钥 的 长 度 ，RSA 算法 把 每 一 块 明文 转化 为 与 密 钥 
长 度 相同 的 密 文 块 。 密 钥 越 长 ， 加 密 效果 越 好 ， 但 加 密 解密 的 开销 也 大 ， 所 以 要 在 安全 与 
性 能 之 间 折 中 考虑 ， 一 般 64 位 较 合适 。RSA 有 一 个 比较 知名 的 应 用 是 SSL， 在 美国 和 加 
拿 大 SSL 用 128 位 RSA 算法 ， 由 于 出 口 限制 ， 在 其 他 地 区 (包括 中 国 ) 通 用 的 则 是 40 位 
版 本 。 

公共 密 钥 加 密 算法 主要 有 如 下 两 种 用 途 。 

。 数据 加 密 : 发 送 者 用 接收 者 的 公 钥 对 要 发 送 的 数据 加 密 ， 接 收 者 用 自己 的 私 钥 对 接 

收 到 的 数据 解密 。 第 三 者 由 于 不 知道 接收 者 的 私 钥 而 无 法 破译 该 数据 。 
。 身份 认证 : 发 送 者 可 以 用 自己 的 私 钥 对 要 发 送 的 数据 加 上 “数字 签名 ”， 接 收 者 通 
过 验证 “数字 签名 ”就 可 以 准确 地 确定 数据 的 来 源 。 

公共 密 钥 加 密 算 法 又 称 为 非 对 称 加 密 算法 ， 常 见 的 加 密 算 法 有 RSA、DSA 等 。 

公共 密 钥 方案 较 专用 密 钥 方案 处 理 速度 慢 ， 因 此 ， 通 常 把 公共 密 钥 与 专用 密 钥 技 术 结 
合 起 来 实现 最 佳 性 能 。 即 用 公共 密 钥 技术 在 通信 双方 之 问 传 送 专用 密 钥 ， 而 用 专用 密 钥 对 
实际 传输 的 数据 加 密 解密 。 

在 Internet 中 使 用 最 多 的 是 公 钥 系 统 。 即 公开 密 钥 加 密 ， 它 的 加 密 密 钥 和 解密 密 钥 是 
不 同 的 。 一 般 对 于 每 个 用 户 生成 一 对 密 钥 后 ， 将 其 中 一 个 作为 公 钥 公开 ， 另 外 一 个 则 作为 
私 钥 由 属 主 保存 。 常 用 的 公 钥 加 密 算法 是 RSA 算法 ， 加 密 强度 很 高 。 具 体 做 法 是 将 数字 
签名 和 数据 加 密 结合 起 来 。 发 送 方 在 发 送 数据 时 必须 加 上 数据 签名 ， 做 法 是 用 自己 的 私 钥 
加 密 一 段 与 发 送 数据 相关 的 数据 作为 数字 签名 ， 然 后 与 发 送 数据 一 起 用 接收 方 密 钥 加 密 。 
当 这 些 密 文 被 接收 方 收 到 后 ， 接 收 方 用 自己 的 私 钥 将 密 文 解密 ， 得 到 发 送 的 数据 和 发 送 方 
的 数字 签名 ， 然 后 用 发 布 方 公布 的 公 钥 对 数字 签名 进行 解密 ， 如 果 成 功 ， 则 确定 是 由 发 送 
方 发 出 的 。 数 字 签 名 每 次 还 与 被 传送 的 数据 和 时 间 等 因素 有 关 。 由 于 加 密 强 度 高 ， 而 且 并 
不 要 求 通信 双方 事先 要 建立 某 种 信任 关系 或 共享 某 种 秘密 ， 因 此 十 分 适合 在 Internet 上 
使 用 。 

公共 密 钥 的 优点 就 在 于 ， 也 许 你 并 不 认识 某 一 实体 ， 但 只 要 你 的 服务 器 认为 该 实体 的 
CA (认证 机 构 ) 是 可 靠 的 , 就 可 以 进行 安全 通信 , 而 这 正 是 电子 商务 这 样 的 业务 所 要 求 的 。 
例如 信用 卡 购物 。 服 务 方 对 自己 的 资源 可 根据 客户 CA 的 发 行 机构 的 可 靠 程度 来 授权 。 目 
前 国内 外 尚 没 有 可 以 被 广泛 信赖 的 CA。 美 国 Natscape 公司 的 产品 支持 公共 密 钥 ， 但 把 
Natscape 公司 作为 CA。 可 靠 的 CA 中 心 有 Verisign， 可 以 登录 它 的 网 站 进行 证 书 的 申请 ， 
网 站 地 址 为 http://w12.263.net/www.verisign.com。 
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2.4 RSA 算法 简介 


RSA 算法 既 能 用 于 数据 加 密 也 能 用 于 数字 签名 ， 它 易于 理解 和 操作 ， 也 很 流行 。 算 
法 的 名 字 以 R.Rivest、A.Sham ir 和 L.Adleman 三 位 发 明 者 的 名 字 命名 。RSA 算法 是 第 一 个 
能 同时 用 于 加 密 和 数字 签名 的 算法 ， 也 是 被 研究 得 最 广泛 的 公 钥 算法 ， 从 提出 到 现在 已 
近 20 年 ， 经历 了 各 种 攻击 的 考验 ， 逐 渐 被 人 们 接受 ， 普 遍 认为 是 目前 最 优秀 的 公 钥 方案 
ee 

RSA 算法 研制 的 最 初 理念 与 目标 是 努力 使 因特网 安全 可 靠 ， 旨 在 解决 DES 算法 秘密 
密 钥 利用 公开 信道 传输 分 发 的 难题 。 而 实际 结果 是 不 但 很 好 地 解决 了 这 个 难题 ， 还 可 利用 
RSA 来 完成 对 电文 的 数字 签名 以 对 抗 电文 的 否认 与 抵赖 。 同时 还 可 以 利用 数字 签名 较 容易 
地 发 现 攻击 者 对 电文 的 非法 算 改 ， 以 保护 数据 信息 的 完整 性 。 所 有 这 些 在 下 文中 均 要 详细 
介绍 ， 首 先 介绍 RSA 算法 。 


2.4.1 RSA 算法 


1. RSA 算法 


(1) 选 两 个 大 素数 1 和 xr。， 通 常 均 大 于 10'。 

(2) 计算 二 ri* 7 和 x=(r1-1) (rz-1) ( 注 : x 是 欧 拉 函数 )。 

(3) 选 一 个 与 x 互 质 的 数 ， 令 其 为 d。 

(4) 找到 一 个 e, 满足 e* d=1(mod x)。 

(5) 选 好 这 些 参 数 后 ， 因 为 RSA 是 一 种 分 组 密码 系统 ， 所 以 先 将 明文 划分 成 块 ， 使 得 
每 个 明文 报 文 P 的 长 度 m 满 足 0<m<n。 加 密 P 时 计算 C=Pe (mod n)， 解 密 C 时 计算 P=C* 
(mod n)。 由 于 模 运 算 的 对 称 性 ， 可 以 证 明 加 密 解 密 在 一 定 范围 内 是 可 逆 的 。 

RSA 加 密 算法 使 用 了 两 个 非常 大 的 素数 来 产生 公 钥 和 私 钥 。 即 使 从 一 个 公 钥 中 通过 因 
数 分 解 可 以 得 到 私 钥 ， 但 这 个 运算 所 包含 的 计算 量 是 非常 巨大 的 ， 以 至 于 在 现实 上 是 不 可 
行 的 。 加 密 算 法 本 身 也 是 很 慢 的 ， 这 使 得 使 用 RSA 算法 加 密 大 量 的 数据 变 得 有 些 不 可 行 。 
所 以 在 大 量 数据 进行 加 密 传输 时 一 般 采 用 非 对 称 算法 RSA 等 ) 和 对 称 算法 结合 的 方法 。 
如 PGP 算法 (及 大 多 数 基于 RSA 算法 的 加 密 方法 ) 使 用 公 和 钥 来 加 密 一 个 对 称 加 密 算法 的 
密 钥 ， 然 后 再 利用 一 个 快速 的 对 称 加 密 算 法 来 加 密 数据 。 这 个 对 称 算法 的 密 钥 是 随机 产生 
的 ， 是 保密 的 ， 因 此 得 到 这 个 密 钥 的 唯一 方法 就 是 使 用 私 钥 来 解密 。 


2. RSA 的 具体 工作 原理 


主机 A 和 主机 B 进行 安全 的 数据 传输 ， 那么 首先 主机 A 随机 产生 密 钥 1， 并 使 用 主机 
B 的 公 钥 进行 加 密 ， 然 后 发 送 给 主机 B， 主 机 B 使 用 自己 的 私 钥 进 行 解密 ， 得 到 主机 A 的 
密 钥 ; 然后 主机 B 随机 生成 密 钥 2, 使 用 主机 A 的 公 钥 对 密 钥 2 进行 加 密 后 传送 给 主机 A。 
此 时 主机 A 和 主机 B 都 同时 得 到 了 密 钥 1 和 密 钥 2， 也 就 是 彼此 之 间 的 私 钥 。 因 为 在 不 对 
称 加 密 算 法 中 ， 公 钥 是 公开 的 ， 在 证 书 中 就 可 以 得 到 ， 其 原理 示意 图 如 图 2-2 所 示 。 


29 


30 


计算 机 网 络 安全 管理 (第 2 版 ) 


A 随机 产生 密 钥 1 发 送 给 B 昌 使 用 B 的 私 铀 解密 
A 使 用 B 的 公 铀 加 密 一 、| 得 到 A 生成 的 密 钥 1 
A 用 A 的 私 钥 解密 发 送 给 A B 随 机 生成 密 钥 2 

得 到 B 生 成 的 密 钥 2 B 使 用 和 的 公 钥 加 密 


人 使用“ 密 铀 1+ 密 钥 2”| 。。 使 用 协商 的 密 钥 。 | B 使 用 “ 密 钥 1+ 密 钥 2” 
作为 对 称 算法 的 密 铀 远 行 加 祝 传 输 “| 作为 对 称 算法 的 密 负 


图 2-2 


2.4.2 ” 密 钥 对 的 产生 


选择 两 个 大 素数 p 和 gq， 计算 : 

mp*g 

然后 随机 选择 加 密 密 钥 e， 要 求 e 和 (P-1)。(g-1) 互 质 。 最后， 利用 欧 拉 算法 计算 
解密 密 钥 d， 满 足 e*， qd=1(mod (P-D (q-1))， 其 中 nn 和 4 也 要 互 质 。 数 e 和 nn 是 公 钥 ,qd 
是 私 钥 。 两 个 素数 p 和 gq 不 再 需要 ， 应 该 丢弃 ， 不 要 让 任何 人 知道 。 

加 密 信息 m (二 进 制 表示 ) 时 ， 首 先 把 m 分 成 等 长 数据 块 my，m2，…，m;， 块 长 为 s， 
其 中 2:<=n，s 尽 可 能 的 大 。 对 应 的 密 文 如 下 。 


cm (modn) 公式 (a) 
解密 时 作 如 下 计算 。 
mi=c! (modn) 公式 (b) 


RSA 可 用 于 数字 签名 ， 方 案 是 用 公式 〈a) 签名 ， 公 式 〈b) 验证 。 具 体操 作 时 考虑 到 
安全 性 和 m 信息 量 较 大 等 因素 ， 一 般 是 先 做 HASH 运算 。 因 为 HASH 是 一 类 特殊 的 散 列 
函数 , 它 可 以 在 传送 的 报 文中 提取 发 送 者 的 特征 数据 , 也 就 是 生成 摘要 ， 这 份 摘 要 是 独一无二 
的 。 因 为 私 钥 是 唯一 的 ， 只 有 拥有 者 才 知道 ， 所 以 这 一 特征 数据 也 是 唯一 的 。 这 一 特征 数据 被 
称 为 数字 指纹 ， 所 以 经 HASH 运算 得 到 的 摘要 即 数字 指纹 可 以 用 于 数字 签名 。 


2.4.3 ”RSA 的 安全 性 


RSA 的 安全 性 依赖 于 大 数 分 解 ， 但 是 否 等 同 于 大 数 分 解 一 直 未 能 得 到 理论 上 的 证 明 ， 
因为 没有 证 明 , 破解 RSA 就 一 定 需要 做 大 数 分 解 。 假 设 存在 一 种 无 须 分 解 大 数 的 算法 , 那 
它 肯 定 可 以 修改 成 为 大 数 分 解 算法 。 目前, RSA 的 一 些 变种 算法 已 被 证 明 等 价 于 大 数 分 解 。 
无 论 怎样 , 分 解 n 是 最 明显 的 攻击 方法 。 现在 ， 人 们 已 能 分 解 140 多 个 十 进 制 位 的 大 素数 。 
因此 ， 模 数 n 必须 选 大 一 些 ， 应 视 具体 实用 情况 而 定 。 


2.4.4 RSA 的 速度 


i 


日 于 进行 的 都 是 大 数 计算 ， 使 得 RSA 最 快 的 情况 也 比 DES 慢 100 倍 ， 无 论 是 软件 还 
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是 硬件 实现 ， 速 度 一 直 是 RSA 的 缺陷 ， 它 一 般 只 用 于 少量 数据 加 密 。 
2.4.5 RSA 的 选择 密 文 攻击 


RSA 在 选择 密 文 攻击 面前 很 脆弱 。 一 般 攻 击 者 是 将 某 一 信息 做 一 下 伪装 (blind)， 让 
拥有 私 钥 的 实体 签署 ， 然 后 经 过 计算 就 可 得 到 它 所 想 要 的 信息 。 实 际 上 ， 攻 击 利用 的 都 是 
同一 个 弱点 ， 即 存在 这 样 一 个 事实 ， 乘 窜 保 留 了 输入 的 乘法 结构 。 

(XM)"=X**M’” mod n 

前 面 已 经 提 到 ， 这 个 固有 的 问题 来 自 于 公 钥 密码 系统 最 有 用 的 特征 一 一 每 个 人 都 能 使 
用 公 钥 。 但 从 算法 上 无 法 解决 这 一 问题 ， 主 要 措施 有 两 条 : 一 条 是 采用 好 的 公 钥 协议 ， 保 
证 工作 过 程 中 实体 不 对 其 他 实体 产生 的 任何 信息 解密 ， 不 对 自己 一 无 所 知 的 信息 签名 另 
一 条 是 决 不 对 陌生 人 送 来 的 随机 文档 签名 , 签名 时 首先 使 用 One-Way HASH 函数 对 文档 做 
HASH 处 理 ， 或 同时 使 用 不 同 的 签名 算法 。 下 面 是 几 种 不 同类 型 的 攻击 方法 。 


1. RSA 的 公共 模 数 攻击 


若 系 统 中 共有 一 个 模 数 ， 只 是 不 同 的 人 拥有 不 同 的 e 和 qd， 那 么 这 个 系统 将 是 危险 的 。 
最 普遍 的 情况 是 同一 信息 用 不 同 的 公 钥 加 密 ， 这 些 公 钥 共 模 而 且 互 质 ， 那 么 该 信息 无 须 私 
钥 就 可 得 到 恢复 。 

设 忆 为 信息 明文 ， 两 个 加 密 密 钥 为 el 和 @， 公 共 模 数 是 mm， 则 ; 

C=P"modn 

C=P*modn 

密码 分 析 者 知道 n、e!、e2、C1 和 C?， 就 能 得 到 P。 

因为 el 和 e 互 质 ， 故 用 欧 拉 算 法 能 找到 x 和 s， 满 是 : 

r*ets*e,=l 

假设 x 为 负数 ， 需 再 用 欧 拉 算法 计算 CC2， 则 : 

CC IC; =Pmodn 

另外 ， 还 有 其 他 几 种 利用 公共 模 数 攻击 的 方法 。 总 之 ， 如 果 知 道 给 定 模 数 的 一 对 e 和 
d， 一 是 有 利于 攻击 者 分 解 模 数 ， 二 是 有 利于 攻击 者 计算 出 其 他 成 对 的 e 和 q， 而 无 须 分 
解 模 数 。 解 决 办 法 只 有 一 个 ， 那 就 是 不 要 共享 模 数 n。 


2. RSA 的 小 指数 攻击 

有 一 种 提高 RSA 速度 的 建议 是 使 公 钥 e 取 较 小 的 值 ， 这样 会 使 加 密 变 得 易于 实现 , 速 
度 有 所 提高 。 但 这 样 做 是 不 安全 的 ， 对 付 办 法 就 是 e 和 4 都 取 较 大 的 值 。 
2.4.6 ”RSA 的 数字 签名 


公 钥 体系 中 有 公 钥 和 私 钥 ， 私 钥 保 持 私有 ， 只 有 拥有 者 才 知道 ， 公 钥 广 泛 分 布 〈 通 常 
作为 公共 证 书 的 一 部 分 )， 因 此 任何 人 都 能 用 公 钥 加 密 数据 ， 而 只 有 私 钥 拥有 者 才能 解密 。 
另外 ， 私 钥 拥 有 者 用 私 钥 加 密 数据 ， 任 何 拥有 公 钥 的 人 都 能 解 开 ， 这 通常 用 作 数 字 签 名 。 
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在 这 种 情况 下 ， 签 名 者 产生 一 个 数字 信息 〈 例 如 HASH) 使 用 协商 好 的 算法 ， 然 后 用 私 钥 
加 密 。 接 收 者 能 验证 私 钥 拥有 者 发 送 的 消息 ， 用 签名 者 的 公 钥 解 开 加 密 的 信息 ， 并 产生 与 
收 到 信息 相 匹配 的 摘要 。 

RSA 公 钥 体系 可 以 用 于 对 数据 信息 进行 数字 签名 。 所 谓 数字 签名 就 是 信息 发 送 者 用 其 
私 钥 对 从 所 传 报 文中 提取 的 特征 数据 或 称 数字 指纹 进行 RSA 算法 解密 运算 操作 , 得 到 发 信 
者 对 该 数字 指纹 的 签名 函数 Hm)。 签 名 函数 H(m) 从 技术 上 标识 了 发 信者 对 该 电文 的 数字 
指纹 的 责任 。 因 发 信者 的 私 钥 只 有 他 本 人 才 有 ， 所 以 他 一 旦 完成 了 签名 便 保 证 了 发 信人 无 
法 抵赖 曾 发 过 该 信息 〈 即 不 可 抵赖 性 )。 经 验证 无 误 的 签名 电文 同时 也 确保 了 信息 报 文 在 经 
签名 后 未 被 算 改 〈 即 完整 性 )。 当 信息 接收 者 收 到 报 文 后 ， 就 可 以 用 发 送 者 的 公 钥 对 数字 签 
名 的 真实 性 进行 验证 。 美 国 参议 院 已 通过 了 立法 ， 数 字 签 名 与 手书 签名 的 文件 具有 同等 的 
法 律 效力 。 

在 数字 签名 中 有 重要 作用 的 数字 指纹 是 通过 一 类 特殊 的 散 列 函数 (HASH 函数 ) 生成 
的 ， 对 这 些 HASH 函数 的 特殊 要 求 是 : 

。 接收 的 输入 报 文 数据 没有 长 度 限制 。 

。 对 任何 输入 报 文 数据 生成 固定 长 度 的 摘要 数字 指纹 ) 输 出。 

。 从 报 文 能 方便 地 算出 摘要 。 

。 难以 对 指定 的 摘要 生成 一 个 报 文 ， 而 由 该 报 文 可 以 算出 该 指定 的 摘要 。 

。 难以 对 两 个 不 同 的 报 文生 成 相同 的 摘要 。 


2.4.7 RSA 的 缺点 


。 产生 密 钥 很 麻烦 ， 受 到 素数 产生 技术 的 限制 ， 因 而 难以 做 到 一 次 一 密 。 

。 分 组 长 度 太 大 ， 为 保证 安全 性 ，n 至 少 也 要 600 位 以 上 ， 使 运算 代价 很 高 。 尤 其 是 
速度 较 慢 ， 较 对 称 密码 算法 慢 几 个 数量 级 ， 并 且 随 着 大 数 分 解 技术 的 发 展 ， 这 个 长 
度 还 在 增加 ， 不 利于 数据 格式 的 标准 化 。 


2.4.8 关于 RSA 算法 的 保密 强度 安全 评估 


RSA 算法 的 保密 强度 ， 随 其 密 钥 的 长 度 增加 而 增强 。 但 是 ， 密 钥 越 长 ， 其 加 解密 所 耗 
的 时 间 也 越 长 。 因 此 ， 要 根据 所 保护 信息 的 敏感 程度 及 攻击 者 破解 所 要 花费 的 代价 值 不 值 
得 和 系统 所 要 求 的 反应 时 间 来 综合 考虑 决定 ， 尤 其 是 商业 信息 领域 更 是 如 此 。 

以 下 列 出 美国 麻 省 理工 学 院 的 RSA129 (N=1012? 素 因 子 分 解 攻击 研究 小 组 Hal 
Abelson、Jeff schiller、Brian lamacchia 和 Derek Atkins )。 根 据 他 们 对 PGP RSA (MPQS) 
算法 攻击 研究 的 结果 如 下 

RSA-129(429 -bit key)4600 MIPS-YEARS 

这 个 表达 式 的 含义 是 要 4600 台 VAX11/780 联合 运行 一 年 的 时 间 ， 或 一 台 Pentium 运 
行 46 年 时 间 才 能 将 一 个 Nx10'” 的 大 数 分 解 ， 找 到 其 P 和 Q。 

下 面 列 出 RSA 算法 中 密 钥 位 数 分 别 是 512、700、1024 和 384 的 算法 破解 所 需要 的 时 
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间 ， 从 中 可 以 看 出 密 钥 的 位 数 越 长 ， 其 攻击 者 需要 破解 密 钥 的 时 间 越 长 。 
RSA 512 -bit key 42*104 MIPS-YEARS 
RSA 700 -bit key 42*108 MIPS-YEARS 
RSA 1024 -bit key 2.8*1015 MIPS-YEARS 
RSA 384 -bit key 470 MIPS-YEARS 


公开 密 钥 算法 是 在 1976 年 由 当时 在 美国 斯 坦 福 大 学 的 迪 菲 (Diffie) 和 赫 尔 曼 
(Hellman) 两 人 首先 发 明 的 (论文 《New Direction in Cryptography》)。 但 目前 最 流行 的 RSA 
分 别 取 自 三 名 发 明 此 算法 的 数学 家 (R.Rivest、A.Shamir 和 L.Adleman) 的 名 字 的 第 一 个 
字母 。 

RSA 算法 研制 的 最 初 理念 与 目标 旨 在 解决 DES 算法 秘密 密 钥 利用 公开 信道 传输 分 发 
的 难题 。 而 实际 结果 不 但 很 好 地 解决 了 这 个 难题 ， 还 可 利用 RSA 完成 对 电文 的 数字 签名 ， 
以 对 抗 电文 的 否认 与 抵赖 。 同 时 还 可 以 利用 数字 签名 较 容易 地 发 现 攻击 者 对 电文 的 非法 算 
改 ， 以 保护 数据 信息 的 完整 性 。 

攻破 RSA 密 钥 的 时 间 

密 钥 长 度 : 100 ”200 300 500 750 1000 

破解 时 间 : 30 秒 3 天 ”9 年 1 兆 年 “2x10? 年 ”6x105 年 

可 以 看 出 ， 当 密 钥 长 度 大 于 512 位 时 ， 以 有 限 的 人 生 攻 破 密 钥 是 无 法 实现 的 。 


2.4.9 RSA 的 实用 性 


公开 密 钥 密码 体制 与 对 称 密 钥 密码 体制 相 比较 ， 确 实 有 其 不 可 取代 的 优点 ， 但 它 的 运 
算 量 远大 于 后 者 ， 超 过 几 百 倍 、 几 千 倍 甚至 上 万 倍 ， 且 复杂 得 多 。 

在 网 络 上 全 都 用 公开 密 钥 密码 体制 来 传送 机 密 信 息 ， 是 没有 必要 的 ， 也 是 不 现实 的 。 
在 计算 机 系统 中 使 用 对 称 密 钥 密码 体制 已 有 多 年 , 既 有 比较 简便 可 靠 的 、 久 经 考验 的 方法 ， 
如 以 DES (数据 加 密 标准 ) 为 代表 的 分 块 加 密 算法 (及 其 扩充 DESX 和 Triple DES); 也 
有 一 些 新 的 方法 发 表 ， 如 RSA 公司 的 专 有 算法 RC2、RC4 和 RC5 等 。 其 中 RC2 和 RC5 
是 分 块 加 密 算法 ，RC4 是 数据 流 加 密 算法 。 

在 传送 机 密 信息 的 网 络 用 户 双方 ， 如 果 使 用 某 个 对 称 密 钥 密码 体制 (例如 DES)， 同 
时 使 用 RSA 不 对 称 密 钥 密码 体制 来 传送 DES 的 密 钥 ， 就 可 以 综合 发 挥 两 种 密码 体制 的 优 
点 ， 即 DES 高 速 简便 性 和 RSA 密 钥 管理 的 方便 和 安全 性 。 

RSA 算法 已 经 在 因特网 中 的 许多 方面 得 以 广泛 应 用 ,包括 在 安全 接口 层 标准 〈 该 标准 
是 网 络 浏览 器 建立 安全 的 因特网 连接 时 必须 用 到 的 ) 方面 的 应 用 。 

基于 RSA 算法 的 公 钥 加 密 系统 具有 数据 加 密 、 数 字 签名 、 信 息 源 识别 及 密 钥 交换 等 功 
能 ， 目 前 ，RSA 加 密 系统 主要 应 用 于 智能 IC 卡 和 网 络 安全 产品 。 选 用 RSA 算法 作为 公共 
钥 加 密 系统 主要 算法 的 原因 是 算法 安全 性 好 。 在 模 NN 足 够 长 时 ，In N 个 整数 中 就 有 一 个 大 
小 接近 于 N 的 素数 。 在 模 长 为 1024 位 时 , 可 以 认为 RSA 密码 系统 的 可 选 密 钥 个 数 足够 多 ， 
可 以 得 到 随机 、 安 全 的 密 钥 对 。 公 共 钥 加 密 系统 多 用 于 分 布 式 计 算 环境 ， 密 钥 分 配 和 管理 
易于 实现 ， 局 部 攻击 难以 对 整个 系统 的 安全 造成 威胁 。 
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2.5 ”RSA 算法 和 DES 算法 的 比较 


DES 数据 加 密 标准 用 于 对 64 位 的 数据 进行 加 密 和 解密 。DES 算法 所 用 的 密 钥 也 是 64 
位 ， 但 由 于 其 中 包含 了 8 个 奇偶 校 验 位 ， 因 而 实际 的 密 钥 长 度 是 56 位 。DES 算法 多 次 组 
合 迭 代 算 法 和 换 位 算法 , 利用 分 散 和 错乱 的 相互 作用 , 把 明文 编制 成 密码 强度 很 高 的 密 文 。 
DES 算法 的 加 密 和 解密 的 流程 是 完全 相同 的 ， 区 别 仅仅 是 加 密 与 解密 使 用 子 密 钥 序列 的 顺 
序 正好 相反 。 

RSA 算法 是 公开 密 钥 系统 中 的 杰出 代表 , 其 算法 的 安全 性 是 建立 在 具有 大 素数 因子 的 
合 数 的 因子 分 解困 难 这 一 法 则 之 上 的 。RSA 算法 中 加 密 密 钥 和 解密 密 钥 不 相同 ， 其 中 加 密 
密 钥 公开 ， 解 密 密 钥 保 密 ， 并 且 不 能 从 加 密 密 钥 或 密 文 中 推出 解密 密 钥 。 

DES 算法 和 RSA 算法 各 有 优 缺 点 ， 可 以 在 以 下 几 个 方面 进行 比较 。 


1. 在 加 密 、 解 密 的 处 理 效率 方面 


DES 算法 优 于 RSA 算法 。 因为 DES 密 钥 的 长 度 只 有 56 位 , 可 以 利用 软件 和 硬件 实现 
高 速 处 理 ， RSA 算法 需要 进行 诸如 200 位 整数 的 乘 寡 和 求 模 等 多 倍 字 长 的 处 理 ， 处 理 速度 
明显 慢 于 DES 算法 。 


2. 在 密 钥 的 管理 方面 


RSA 算法 比 DES 算法 更 加 优越 。 因 为 RSA 算法 可 采用 公开 形式 分 配 加 密 密 钥 ， 对 加 
密 密 钥 的 更 新 也 很 容易 ， 并 且 对 不 同 的 通信 对 象 ， 只 需 对 自己 的 解密 密 钥 保密 即 可 ; DES 
算法 要 求 通信 前 对 密 钥 进行 秘密 分 配 ， 密 钥 的 更 换 困 难 ， 对 不 同 的 通信 对 象 ，DES 必须 产 
生 和 保管 不 同 的 密 钥 。 

3. 在 安全 性 方面 

DES 算法 和 RSA 算法 的 安全 性 都 较 好 ， 目 前 还 没有 在 短 时 间 内 破译 它们 的 有 效 方法 。 

4. 在 签名 和 认证 方面 


DES 算法 从 原理 上 不 可 能 实现 数字 签名 和 身份 认证 ， 但 RSA 算法 能 够 容易 地 进行 数 
字 签 名 和 身份 认证 。 

总 的 来 说 ， 两 种 算法 各 具 特 点 ，DES 算法 加 密 、 解 密 速 度 快 ， 所 以 对 数据 量 大 、 需 要 
在 网 上 传播 的 信息 ， 用 DES 算法 来 加 密 和 解密 。 

对 于 数据 量 小 但 非常 重要 的 数据 ， 数 字 签 名 和 DES 算法 的 密 钥 就 要 使 用 RSA 算法 进 
行 加 密 和 解密 。 


2.6 DSS/DSA 算法 
DSA(Digital Signature Algorithm ) 是 Schnorr 和 ElGamal 签名 算法 的 变种 ,被 美国 NIST 


称 为 DSS (Digital Signatures Standard)。 算 法 中 应 用 了 下 述 参数 。 
Pp: 工 位 长 的 素数 ，L 是 64 的 倍数 ， 范 围 是 512 一 1024。 
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: pl 的 160 位 的 素 因 子 。 
: g=h^((p -1)/q)modp，h 满足 h<p-1，h^(p-1)/q) mod p>1。 
x<q，x 为 私 钥 。 
y: y=g^X modp，(p, q, g, y) 为 公 钥 。 
H(x): One-Way HASH 函数 。DSS 中 选用 SHA (Secure Hash Algorithm )。 
p、q、g 可 由 一 组 用 户 共享 ， 但 在 实际 应 用 中 ， 使 用 公共 模 数 可 能 会 带 来 一 定 的 威胁 。 
签名 及 验证 协议 如 下 : 
(1) P 产 生 随机 数 k，k<q。 
(2) P 计 算 r=(g^k mod p)modq 
s=(kK^(-1) (H (m)+xr)) mod q 
签名 结果 是 (m, 1, s)。 
(3) 验证 时 计算 w=s^(-1) mod q 
ul=(H (m)*w) mod q 
U2= (r+w) mod q 
v=((g*ul*yu2) mod p) mod q 
若 v=r， 则 认为 签名 有 效 。 
DSA 是 基于 整数 有 限 域 离散 对 数 问题 的 ， 其 安全 性 与 RSA 相 比 差不多 。DSA 的 一 个 
重要 特点 是 两 个 素数 公开 ， 这 样 ， 当 使 用 别人 的 p 和 q 时 ， 即 使 不 知道 私 钥 ， 也 能 确认 它 
们 是 否 是 随机 产生 的 ， 而 这 正好 是 优 于 RSA 算法 之 处 。 


2.7 ”椭圆 曲线 密码 算法 


1985 年 NKoblitz 和 VMiller 提出 将 椭圆 曲线 用 于 密码 算法 ， 其 根据 是 有 限 域 上 的 椭 
圆 曲线 上 点 群 中 的 离散 对 数 问题 ECDLP。ECDLP 是 比 因子 分 解 问题 更 难 的 问题 ， 许 多 密 
码 专家 认为 它 有 指数 级 的 难度 。 从 目前 已 知 的 最 好 求解 算法 来 看 ，160 位 的 椭圆 曲线 密码 
算法 的 安全 性 相当 于 1024 位 的 RSA 算法 ， 因 此 椭圆 曲线 上 的 密码 算法 速度 很 快 。 

图 2-3 为 RSA 算法 和 椭圆 曲线 密码 算法 的 难度 比较 。 
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图 2-3 
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下 面 介绍 椭圆 曲线 密码 算法 。 
1. 有 限 域 上 的 椭圆 曲线 


设 KK 表 示 一 个 有 限 域 ,，E 是 域 K 上 的 椭圆 曲线 ， 则 EE 是 一 个 点 的 集合 。 

E/K={(x, y)|y tapy taay = taye tagrtae 

al, a3, a2, ad, qe, xX, yEKYU {0O} 

其 中 O 表示 无 穷 远 点 。 

在 E 上 定义 “+” 运 算 ，P+Q =R，R 是 过 P、Q 的 直线 与 曲线 的 另 一 交点 关于 x 轴 的 
对 称 点 。 当 P=Q 时 , R 是 点 的 切线 与 曲线 的 另 一 交点 关于 x 轴 的 对 称 点 。 这样，(E，+) 
构成 可 换 群 (Abel 群 )，O 是 加 法 单位 元 〈 零 元 )。 

椭圆 曲线 离散 对 数 问题 ECDLP 定义 如 下 : 给 定 定义 在 K 上 的 椭圆 曲线 E， 一 个 n 阶 
的 点 PEE/K 和 点 QEE/K， 如 果 存 在 1， 确 定 整 数 !，0 志 In-1，Q=1P。 前 面 已 经 提 到 ， 
ECDLP 是 比 因子 分 解难 得 多 的 问题 。 

图 2-4 显示 了 椭圆 曲线 上 的 加 法 : P+Q=R。 

图 2-5 显示 了 椭圆 曲线 上 一 点 的 2 倍 : P+P=R。 


Ea y 
O-Ge, 1) 村 Pn) 
Px, 7) P=(x,, y3) R=(3, ») 
图 2-4 图 2-5 


2. 椭圆 曲线 上 的 密码 算法 


基于 该 难题 ，N.Koblitz 和 VMiller 在 1985 年 分 别 利用 有 限 域 上 椭圆 曲线 的 点 构成 的 
群 实现 了 离散 对 数 密码 算法 ， 其 中 被 广泛 接受 的 是 椭圆 曲线 上 的 DSA， 称 为 ECDSA。 随 
即 展开 了 椭圆 曲线 密码 学 研究 ， 除 椭圆 曲线 外 ， 还 有 人 提出 在 其 他 类 型 的 曲线 ， 如 超 椭圆 
曲线 上 实现 公 钥 密码 算法 。 

此 后 ， 有 人 在 椭圆 曲线 上 实现 了 类 似 EIGamal 的 加 密 算 法 ， 以 及 可 恢复 明文 的 数字 签 
名 方案 。 除 有 限 域 上 的 椭圆 曲线 密码 算法 外 ， 人 们 还 探索 了 在 椭圆 曲线 上 实现 RSA 算法 ， 
如 KMOV 等 。 


3. 椭圆 曲线 密码 算法 的 发 展 
由 于 其 自身 优点 ， 椭 圆 曲 线 密码 学 一 出 现 便 受 到 关注 。 现 在 密码 学 界 普遍 认为 它 将 替 
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代 RSA 成 为 通用 的 公 钥 密码 算法 ，SET (Secure Electronic Transactions) 协议 的 制订 者 已 
把 它 作 为 下 一 代 SET 协议 中 默认 的 公 钥 密码 算法 ， 目 前 已 成 为 研究 的 热点 ， 是 很 有 前 途 的 
研究 方向 。 


2.8 ”量子 加 密 技术 


新 出 现 的 量子 加 密 系统 的 基本 原理 是 在 20 世纪 70 年 代 早 期 提出 的 ， 时 间 和 公 钥 加 密 
技术 同步 ， 直 到 现在 ， 它 的 真正 价值 才 得 以 体现 。 

下 面 介绍 量子 加 密 算法 的 工作 原理 : 量子 加 密 法 是 两 个 使 用 此 加 密 算法 的 用 户 各 自 产 
生 一 个 私有 的 随机 数字 符 串 。 第 一 个 用 户 向 第 二 个 用 户 的 接收 装置 发 送 代 表 数 字 字 符 串 的 
单个 量子 序列 〈 光 脉冲 )， 接 收 装 署 从 两 个 字符 串 中 取出 相 匹配 的 比特 值 。 这 些 比特 值 就 组 
成 了 密 钥 的 基础 。 

量子 加 密 法 的 先进 在 于 这 种 方法 依赖 于 量子 力学 定律 。 传 输 的 光量 子 是 无 法 进行 窃听 
的 ， 量 子 要 么 被 接收 者 的 接收 机 接收 ， 要 么 被 窃听 者 接收 。 因 为 如 果 有 人 进行 窃听 ， 窃 听 
动作 本 身 将 会 对 通信 系统 造成 干扰 ， 对 通信 系统 的 量子 状态 造成 不 可 挽回 的 变化 ， 同 时 通 
信和 双方 就 会 得 知 有 人 进行 窃听 ， 从 而 结束 通信 ， 生 成 新 的 密 钥 。 

在 光纤 上 进行 的 试验 证 明 ， 这 种 加 密 方法 在 卫星 通信 中 也 是 可 行 的 。 但 是 量子 加 密 法 
有 很 高 的 维护 要 求 ， 普 通 的 铜 绕 (这 种 媒介 只 以 电子 方式 而 不 是 量子 方式 传送 信号 ) 无 法 
使 用 这 种 技术 ， 而 在 宽带 光纤 通信 中 就 可 以 进行 量子 密 钥 的 发 送 。 

在 一 些 实际 应 用 中 ， 通 过 光纤 的 量子 信息 的 密 钥 可 以 用 于 加 密 普 通 宽 带 数 据 信道 所 传 
送 的 信息 。 这 种 加 密 技术 在 不 久 的 将 来 就 会 商业 化 ， 但 是 目前 相当 长 的 一 段 时 间 内 ， 公 钥 
加 密 法 还 是 首选 。 因 为 这 种 加 密 方法 可 以 用 于 现 有 的 电子 化 的 网 络 和 系统 中 ， 而 不 需要 使 
用 光纤 ， 并 且 公 钥 加 密 方法 可 以 用 于 数字 签名 ， 量 子 加 密 法 则 无 法 做 到 。 

量子 信息 技术 如 果 能 走向 实用 ， 那 么 现代 的 公 钥 加 密 体 制 将 被 取代 。 用 公 钥 加 密 方法 
进行 加 密 的 信息 将 会 立刻 变 成 明文 ， 所 以 量子 加 密 技 术 有 比较 广泛 的 未 来 前 景 。 


2.9 PKI 管理 机 制 


PKI (Public Key Infrastructure) 即 公 开 密 钥 体 系 。 一 个 成 熟 的 加 密 体系 必然 要 有 一 个 
成 熟 的 密 钥 管理 机 制 ， 公 钥 的 管理 机 制 都 采用 PKI 机 制 , 它 是 由 公开 密 钥 技 术 、 数字 证 书 、 
证 书 发 行 机构 〈CA) 和 相关 的 公 钥 安全 策略 等 组 成 。 

PKI 体系 建立 一 套 证 书 发 放 、 管 理 和 使 用 的 体系 ， 来 支持 和 完成 网 络 系统 中 的 身份 认 
证 、 信 息 加 密 、 保 证 数据 完整 性 和 抗 抵赖 性 。PKI 体系 可 以 有 多 种 不 同 的 体系 结构 、 实 现 
方法 和 通信 协议 。 公 开 密 钥 算 法 也 就 是 非 对 称 密 钥 算法 ， 它 的 基本 原理 在 前 面 已 经 详细 
介绍 。 

公 钥 利用 电子 证 书 与 其 拥有 者 的 姓名 、 工 作 单 位 和 邮箱 地 址 等 捆绑 在 一 起 ， 由 权威 机 
构 (Certificate Authority，CA) 认证、 发 放 和 管理 。 把 证 书 交 给 对 方 时 就 把 自己 的 公 钥 传 
送 给 了 对 方 。 证 书 也 可 以 存放 在 一 个 公开 的 地 方 ， 让 别人 能 够 方便 地 找到 。 

公共 密 钥 方法 还 提供 了 进行 数字 签名 的 办 法 : 签字 方 首先 要 对 发 送 的 数据 提取 摘要 并 
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用 自己 的 私 钥 对 其 进行 加 密 ; 接收 方 验证 签字 方 证 书 的 有 效 性 和 身份 ， 用 签字 方 公 钥 进行 
解密 和 验证 ， 确 认 被 签字 信息 的 完整 性 和 抗 抵 赖 性 。 

公共 密 钥 方 法 通常 结合 使 用 对 称 密 钥 〈 单 密 钥 ) 方法 ， 由 计算 效率 高 的 对 称 密 钥 方法 
对 文件 和 数据 进行 加 密 。 

目前 在 Internet 上 主要 使 用 RSA 公共 密 钥 方法 ， 密 钥 长 度 用 512 位 或 1024 位 ， 它 是 
广泛 使 用 的 SSL/TLS 和 S/MIME 等 安全 通信 协议 的 基础 。 


2.9.1 认证 机 构 


认证 机 构 CA 是 证 书 的 签发 机 构 。 构建 密码 服务 系统 的 核心 内 容 是 如 何 实现 密 钥 管理 。 
公 钥 体制 涉及 一 对 密 钥 ， 即 私 钥 和 公 钥 。 私 钥 只 由 持 有 者 秘密 掌握 ， 无 须 在 网 上 传送 ， 而 
公 钥 是 公开 的 ， 需 要 在 网 上 传送 ， 故 公 钥 体制 的 密 钥 管理 主要 是 公 钥 的 管理 问题 。 目 前 较 
好 的 解决 方案 是 引进 证 书 机 制 。 

证 书 是 公开 密 钥 体制 的 一 种 密 钥 管理 媒介 。 它 是 一 种 权威 性 的 电子 文档 ， 形 同 网 络 计 
算 环境 中 的 一 种 身份 证 ， 用 于 证 明 某 一 主体 (如 人、 服务 器 等 ) 的 身份 及 其 公开 密 钥 的 合 
法 性 。 在 使 用 公 钥 体制 的 网 络 环境 中 ,必须 向 公 钥 的 使 用 者 证 明 公 和 钥 的 真实 合法 性 。 因 此 ， 
在 公 钥 体制 环境 中 ， 必 须 有 一 个 可 信 的 机 构 来 对 任何 一 个 主体 的 公 钥 进 行 公证 ， 证 明 主 体 
的 身份 及 它 与 公 钥 的 匹配 关系 。CA 正 是 这 样 的 机 构 ， 它 的 职责 是 : 验证 并 标识 证 书 申请 
者 的 身份 :确保 CA 用 于 签名 证 书 的 非 对 称 密 钥 的 质量 ;确保 整个 签证 过 程 的 安全 ， 确 保 
签名 私 钥 的 安全 性 ; 管理 证 书 材 料 信息 ( 包 括 公 钥 证 书 序列 号 、CA 标识 等 )， 确 定 并 检查 
证 书 的 有 效 期 限 ， 确 保证 书 主体 标识 的 唯一 性 ， 防 止 重 名 ， 发布 并 维护 作废 证 书 表 ， 对 整 
个 证 书签 发 过 程 做 日 志 记录 及 向 申请 人 发 通知 等 。 

CA 也 拥有 一 个 证 书 〈 内 含 公 钥 )， 也 有 自己 的 私 钥 ， 所 以 它 有 签字 的 能 力 。 网 上 的 公 
众 用 户 通过 验证 CA 的 签字 从 而 信任 CA， 任 何人 都 应 该 可 以 得 到 CA 的 证 书 〈 含 公 钥 )， 
用 以 验证 它 所 签发 的 证 书 。 

如 果 用 户 想得到 一 份 属于 自己 的 证 书 ， 他 应 先 向 CA 提出 申请 。 在 CA 判明 申请 者 的 
身份 后 ， 便 为 他 分 配 一 个 公 钥 ， 并 且 CA 将 该 公 钥 与 申请 者 的 身份 信息 绑 在 一 起 ， 并 为 之 
签字 后 ， 便 形成 证 书 发 给 那个 用 户 〈 申 请 者 )。 

如 果 一 个 用 户 想 鉴 别 另 一 个 证 书 的 真 伪 ， 就 用 CA 的 公 钥 对 那个 证 书 上 的 签字 进行 验 
证 (如 前 所 述 ，CA 签字 实际 上 是 经 过 CA 私 钥 加 密 的 信息 ， 签 字 验 证 的 过 程 还 伴随 使 用 
CA 公 钥 解密 的 过 程 )， 一 旦 验证 通过 ， 该 证 书 就 被 认为 是 有 效 的 。CA 除了 签发 证 书 之 外 ， 
它 的 另 一 个 重要 作用 是 证 书 和 密 钥 的 管理 。 

认证 中 心 就 是 一 个 负责 发 放 和 管理 数字 证 书 的 权威 机 构 。 对 于 一 个 大 型 的 应 用 环境 ， 
认证 中 心 往往 采用 一 种 多 层次 的 分 级 结构 ， 各 级 的 认证 中 心 类 似 于 各 级 行政 机 关 ， 上 级 认 
证 中 心 负责 签发 和 管理 下 级 认证 中 心 的 证 书 ， 最 下 一 级 的 认证 中 心 直 接 面 向 最 终 用 户 。 处 
在 最 高 层 的 是 认证 中 心 ， 它 是 所 有 人 公认 的 权威 ， 如 和 人 人民 银行 总 行 的 CA。 由 于 认证 机 构 
发 放 的 证 书 是 供 各 种 各 样 的 应 用 程序 用 的 ， 因 此 它 必须 遵循 一 定 的 工业 标准 ， 这 些 标准 包 
括 以 下 几 类 。 
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2.9.2 ”加 密 标准 


数字 证 书 及 数字 签字 实质 是 信息 加 密 ， 通 用 的 加 密 标 准 如 下 。 
。 对 称 加 密 算法 : DES、Triple-DES、RC2、RC4 和 CAST 等 。 
。 非 对 称 加 密 算法 : RSA、DSA 和 Diffe-Hellman 等 。 

。 散 列 算法 : SHA-1、MD5 等 。 


2.9.3 证书 标准 


通用 的 证 书 标准 是 X.509。 
目录 服务 标准 为 X.500 及 LDAP。 


2.9.4 ”数字 证 书 


数字 证 书 是 一 种 能 在 完全 开放 系统 中 使 用 的 证 书 〈 例 如 互联 网 络 )， 它 的 用 户 群 绝 不 
是 几 个 人 互相 信任 的 小 集体 。 在 这 个 用 户 群 中 ， 从 法 律 角度 讲 彼此 之 问 都 不 能 轻易 信任 。 
所 以 公 钥 加 密 体系 采取 了 另 一 个 办 法 ， 将 公 钥 和 公 钥 的 主人 名 字 联 系 在 一 起 ， 再 请 一 个 大 
家 都 信得过 有 信誉 的 公正 、 权 威 机 构 确认 ， 并 加 上 这 个 权威 机 构 的 签名 ， 这 就 形成 了 
证 书 。 

由 于 证 书 上 有 权威 机 构 的 签字 ， 所 以 大 家 都 认为 证 书 上 的 内 容 是 可 信任 的 ， 又 由 于 证 
书 上 有 主人 的 名 字 等 身份 信息 ， 别 人 就 很 容易 地 知道 公 钥 的 主人 是 谁 。 构 建 密码 服务 系统 
的 核心 内 容 是 如 何 实现 密 钥 管理 。 公 钥 体 制 涉 及 一 对 密 钥 ， 即 私 钥 和 公 钥 。 私 钥 只 由 持 有 
者 秘密 掌握 ， 无 须 在 网 上 传送 ， 而 公 钥 是 公开 的 ， 需 要 在 网 上 传送 ， 故 公 钥 体制 的 密 钥 管 
理 主要 是 公 钥 的 管理 问题 。 目 前 较 好 的 解决 方案 是 引进 证 书 机 制 。 

证 书 是 公开 密 钥 体制 的 一 种 密 钥 管 理 媒介 。 它 是 一 种 权威 性 的 电子 文档 ， 形 同 网 络 计 
算 环 境 中 的 一 种 身份 证 ， 用 于 证 明 某 一 主体 (如 人 、 服 务 器 等 ) 的 身份 及 其 公开 密 钥 的 合 
法 性 。 在 使 用 公 钥 体制 的 网 络 环境 中 ,必须 向 公 钥 的 使 用 者 证 明 公 钥 的 真实 合法 性 。 因 此 ， 
在 公 钥 体制 环境 中 ， 必 须 有 一 个 可 信 的 机 构 来 对 任何 一 个 主体 的 公 钥 进行 公证 ， 证 明 主 体 
的 身份 及 它 与 公 钥 的 匹配 关系 。 


1. 证 书 的 格式 与 证 书 发 放 


数字 证 书 格式 的 通用 标准 是 X.509。 证 书 由 CA 根据 X.509 协议 产生 ， 应 具备 的 信息 
如 下 。 

。 版 本 号 : 用 来 区 分 X.509 的 不 同 版 本 。 

。 序列 号 : 由 CA 给 予 每 一 个 证 书 的 特殊 编码 。 

。 签名 算法 : 用 于 产生 证 书 所 用 的 方法 及 一 切 参数 。 

。 发 出 该 证 书 的 认证 机 构 : CA 的 识别 名 字 。 

。 有 效 期 限 : 包括 开始 日 期 和 结束 日 期 。 
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。 主题 信息 : 证 书 持 有 人 的 姓名 、 服 务 处 所 等 信息 。 

。 公 钥 信息 : 被 证 明 的 公 钥 值 ， 加 上 使 用 这 个 公 钥 的 方法 名 称 。 

。 认证 机 构 的 数字 签名 。 

在 X.509 标准 的 扩展 部 分 ， 认 证 机 构 可 以 说 明 该 证 书 的 附加 信息 ， 如 密 钥 用 途 等 。 

用 户 想 获得 认证 机 构 的 证 书 时 ， 首 先 要 向 认证 机 构 提 出 申请 ， 说 明 自己 的 身份 。 认 证 
机 构 在 认真 查验 用 户 的 身份 后 ， 向 用 户 发 出 相应 的 数字 证 书 。 

认证 机 构 在 发 放 证 书 时 要 遵循 一 定 的 准则 ， 例 如 要 保证 自己 发 出 的 证 书 的 序列 号 没有 
相同 的 ， 没 有 两 个 不 同 的 实体 获得 的 证 书 中 的 主题 内 容 是 一 致 的 ， 不 同 主题 内 容 的 证 书 所 
包含 的 公开 密 钥 要 不 相同 等 。 


2. 证 书 的 管理 


认证 机 构 应 有 一 证 书 管理 机 构 来 管理 它 发 出 的 所 有 证 书 ， 证 书 的 管理 应 通过 目录 服务 
来 实现 。 这 些 管理 功能 包括 : 
。 用 户 能 方便 地 查找 各 种 证 书 及 已 经 撤销 的 证 书 。 
用 户 在 验证 发 送 方 数字 签字 时 需要 验证 用 户 的 身份 ， 这 就 要 检验 发 送 方 数 字 证 书 。 
由 于 该 证 书 可 能 在 其 有 效 期 限 内 被 认证 机 构 撤 销 ， 用 户 往往 要 检查 认证 机 构 的 已 撤 
销 证 书 ， 因 此 能 否 给 用 户 提供 方便 的 证 书 查 询 功 能 ， 是 认证 机 构 是 否 成 功 的 重要 标 
准 之 一 。 
。 能 根据 用 户 请 求 或 其 他 相关 信息 撤销 用 户 的 证 书 。 
用 户 的 身份 并 不 是 一 成 不 变 的 。 如 用 户 的 服务 处 所 改变 后 , 用 户 的 身份 也 就 改变 了 。 
这 时 , 原来 的 证 书 虽 在 有 效 期 限 内 但 已 无 意义 , 故 认证 机 构 就 应 该 根据 用 户 的 请 求 ， 
撤销 该 证 书 。 
。 能 根据 证 书 的 有 效 期 限 自动 地 撤销 证 书 。 
。 能 完成 证 书 数据 库 的 备份 工作 。 


3. 证 书库 


证 书库 是 证 书 的 集中 存放 地 ， 是 网 上 的 一 种 公共 信息 库 ， 用 户 可 从 此 处 获得 其 他 用 户 
的 证 书 和 公 钥 。 构 造 证 书库 的 最 佳 方法 是 采用 支持 LDAP 协议 的 目录 系统 ， 用 户 或 相关 的 
应 用 通过 LDAP 来 访问 证 书库 。 系 统 必须 确保 证 书库 的 完整 性 ， 防 止 伪 造 、 算 改 证 书 。 
4. 密 钥 备份 及 恢复 系统 


如 果 用 户 丢失 了 用 于 解密 数据 的 密 钥 , 则 密 文 数据 将 无 法 被 解密 ,从 而 造成 数据 丢失 。 
为 避免 这 种 情况 的 出 现 ，PKI 应 该 提供 备份 与 恢复 解密 密 钥 的 机 制 。 密 钥 的 备份 与 恢复 应 
该 由 可 信 的 机 构 来 完成 ， 例 如 CA 可 以 充当 这 一 角色 。 值 得 强调 的 是 ， 密 钥 备份 与 恢复 只 
能 针对 解密 密 钥 ， 签 名 私 钥 不 能 够 做 备份 。 


5. 证 书 作废 处 理 系统 


证 书 作废 处 理 系统 是 PKI 的 一 个 重要 组 件 。 同 日 常生 活 中 的 各 种 证 件 一 样 ， 证 书 在 
CA 为 其 签署 的 有 效 期 以 内 也 可 能 需要 作废 。 例 如 ，A 公司 的 职员 a 辞职 离开 公司 ， 这 就 
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需要 终止 a 证 书 的 生命 期 。 为 实现 这 一 点 ，PKI 必须 提供 作废 证 书 的 一 系列 机 制 。 作 上 废 证 
书 有 三 种 策略 : 作废 一 个 或 多 个 主体 的 证 书 ;， 作 废 由 某 一 对 密 钥 签发 的 所 有 证 书 ; 作废 由 
某 CA 签发 的 所 有 证 书 。 

作废 证 书 一 般 通 过 将 证 书 列 入 作废 证 书 表 〈CRL) 来 完成 。 通 常 ， 系 统 中 由 CA 负责 
创建 并 维护 一 张 及 时 更 新 的 CRL， 而 由 用 户 在 验证 证 书 时 负责 检查 该 证 书 是 否 在 CRL 之 
列 。CRL 一 般 存 放 在 目录 系统 中 。 证 书 的 作废 处 理 必 须 在 安全 及 可 验证 的 情况 下 进行 ， 系 
统 还 必须 保证 CRL 的 完整 性 。 


6. 证 书 的 发 放 政策 


证 书 的 发 放 需要 遵照 一 定 的 规定 和 手续 进行 。 证 书 的 发 放 政 策 是 由 发 证 机 构 根 据 自己 
的 服务 方式 和 管理 方式 来 确定 的 。 最 简单 的 情况 是 在 intranet 上 ， 提 供用 户 的 名 字 、 住 址 、 
工作 证 和 E-mail 地 址 可 能 就 可 以 了 。 在 复杂 的 情况 下 ， 可 能 要 求 用 户 提供 各 种 证 明 身 份 的 
证 件 、 一 些 权 威 性 的 文件 以 及 提供 银行 账号 ， 甚 至 需要 亲自 到 专门 的 机 构 去 办 理 申请 
手续 。 


7. 证 书 的 发 放 方式 


证 书 的 发 放 方式 可 以 有 多 种 。 使 用 Net-Pass 智能 卡 时 ， 证 书 的 发 放 可 以 在 网 上 在 线 签 
发 ， 也 可 以 进行 卡 的 预制 签发 。 
8. 证 书 的 应 用 


认证 机 构 发 放 的 证 书 的 主要 应 用 有 : 

。 使 用 S/MIME 协议 实现 安全 的 电子 邮件 系统 。 

。 使 用 SSL 协议 实现 浏览 器 与 Web 服务 器 之 间 的 安全 通信 。 
。 使 用 SET 协议 实现 信用 卡 网 上 安全 支付 。 


2.10 智 能 卡 


使 用 智能 卡 方法 是 当前 国际 上 公认 的 商业 网 络 安全 通信 中 最 好 的 用 户 端 解决 方案 。 智 
能 卡 的 外 形 与 普通 的 信用 卡 相同 , 内 部 有 微 处 理 器 (CPU) 和 可 重 写 存储 单元 (EEPROM )， 
并 且 有 文件 管理 系统 和 保护 算法 。Net-Pass 1.0E 使 用 目前 国内 、 国 际 上 最 高 水 平 的 智能 卡 
其 内 部 有 硬件 产生 密 钥 和 实现 的 RSA 加 密 算 法 ， 可 以 高 速 完 成 加 密 、 解 密 等 操作 。 智 能 卡 
是 防止 算 改 的 简便 方法 ， 它 可 以 向 诸如 客户 身份 验证 、 登 录 到 Windows 2000 域 、 代 码 签 
名 和 保护 电子 邮件 之 类 的 任务 提供 安全 性 解决 方案 。 


1. 使 用 智能 卡 的 优点 


对 加 密 智能 卡 的 支持 是 微软 集成 到 Windows 2000 中 的 公 钥 基础 结构 (PKI) 的 关键 功 
能 。 使 用 智能 卡 具 有 如 下 几 个 其 他 方法 所 不 具备 的 独特 优点 。 
。 把 用 户 的 重要 信息 ， 包 括 证 书 、 密 钥 、 口 令 和 个 人 信息 等 ， 存 放 于 智能 卡 中 安全 
保管 。 
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。 加 密 处 理 可 以 在 卡 内 完成 ， 使 用 于 加 密 的 个 人 密 钥 等 信息 不 能 从 卡 中 读 出 ， 从 而 最 
大 限度 地 保障 通信 的 安全 使 用 。 

。 每 张 智 能 卡 存放 的 内 容 都 是 独特 的 ， 是 不 可 替代 的 ， 具 有 代表 使 用 者 身份 的 意义 ， 

提供 对 操作 安全 的 可 管理 性 。 

。 智能 卡 的 拥有 者 可 以 方便 地 携带 它 ， 可 以 到 任何 地 点 的 连接 读 卡 器 的 计算 机 上 去 完 

成 电子 商务 操作 ， 不 仅 安全 而 且 比 其 他 方法 更 方便 。 

为 了 安全 地 保管 私 钥 和 电子 证 书 ， 在 Windows 2000 中 ， 微 软 为 用 户 还 提供 了 一 套 智 
能 卡 的 基础 设施 。 智能 卡 因为 其 高 安全 性 和 轻便 移动 性 ,势必 将 发 展 成 为 类 似 鼠 标 /键盘 一 
样 的 计算 机 的 标准 外 设 .因此 推出 了 一 套 基于 32 位 Windows 平 台 的 Smart Card for Windows 
产品 ,包括 API 和 开发 工具 。 众 多 的 智能 卡 厂家 ， 只 要 生产 符合 国际 ISO 工业 标准 的 智能 
卡 产 品 ， 就 可 以 在 微软 公司 的 Smart Card 软件 平台 上 操作 。 

当 用 Internet Explorer 向 一 个 认证 中 心 申请 电子 证 书 时 , 就 会 有 一 对 公 铀 和 私 钥 自 动产 
生出 来 。 私 钥 可 以 存储 在 智能 卡 中 ， 公 和 钥 和 其 他 身份 信息 (如 姓名 、 电 子 邮 件 地 址 等 发 
给 认证 中 心 。 如 果 认 证 中 心 批准 该 申请 ， 那 么 包含 公 钥 的 电子 证 书 就 会 被 返回 来 ， 存 储 在 
智能 卡 中 。 这 种 电子 证 书 的 申请 过 程 也 可 以 由 管理 员 设 定 的 批 处 理 方法 来 进行 ， 用 户 还 可 
以 通过 LDAP 查询 CA 中 通信 对 方 的 公 钥 。 因 为 Windows 2000 的 认证 服务 器 是 可 以 与 活 
动 目录 相 结合 的 ， 所 以 这 方面 的 查询 很 方便 。 

智能 卡 存储 私 铀 和 电子 证 书 的 做 法 ， 给 最 终 用 户 提供 了 对 自己 安全 信息 的 最 大 控制 ， 
可 以 方便 地 从 一 台 机 器 携带 到 另 一 台 机 器 使 用 ， 可 以 在 任何 一 个 地 点 使 用 。 一 般 来 说 ， 智 
能 卡 还 会 用 一 个 个 人 密码 (PIN) 保护 起 来 ， 在 要 求 高 安全 性 的 场合 ，PIN 可 以 是 一 些 生物 
信息 ， 例 如 指纹 等 。 智 能 卡 中 存储 的 信息 是 加 密 的 ， 即 使 破坏 了 智能 卡 也 得 不 到 里 面 的 内 
容 。 智 能 卡 的 读 卡 器 也 越 来 越 普遍 ， 有 USB 型 的 ， 也 有 PC 卡 型 的 ， 甚 至 Windows 终端 上 
也 会 有 智能 卡 插 槽 ， 其 逐渐 在 走向 大 众 化 。 

通过 智能 卡 登录 到 网 络 提供 了 很 强 的 身份 验证 方式 ， 因 为 在 验证 进入 域 的 用 户 时 ， 这 
种 方式 使 用 了 基于 加 密 的 身份 验证 和 所 有 权证 据 。 

例如 ， 如 果 某 个 不 怀 好 意 的 人 得 到 了 用 户 的 密码 ， 就 可 以 用 该 密码 在 网 络 上 冒充 用 户 
的 身份 。 很 多 人 都 选择 容易 记忆 的 密码 ， 这 会 使 密码 先天 脆弱 ， 易 受 攻击 。 

在 使 用 智能 卡 的 情况 下 ， 不 怀 好 意 的 人 必须 获得 用 户 的 智能 卡 和 个 人 识别 码 (PIN) 
才能 假扮 用 户 。 因 为 需要 有 另 一 层 信息 才能 假扮 用 户 ， 所 以 该 组 合 明显 不 易 遭 受 攻击 。 另 
一 个 优点 是 ， 连 续 发 生 几 次 不 成 功 的 PIN 输入 后 ， 智 能 卡 会 被 锁定 ， 使 得 对 智能 卡 进行 字 
典 攻击 非常 困难 。 


2. 智能 卡 读 卡 器 


在 运行 Windows 2000 的 计算 机 上 使 用 符合 即 插 即 用 功能 的 智能 卡 读 卡 器 。 如 果 使 用 
的 是 不 符合 即 插 即 用 的 智能 卡 读 卡 器 ， 那 么 必须 从 智能 卡 读 卡 器 的 制造 商 处 直接 获取 安装 
说 明 书 (包括 相关 的 设备 驱动 程序 软件 )。 微 软 不 支持 非 即 插 即 用 的 智能 卡 读 卡 器 。 

Windows 2000 支持 表 2-1 中 所 列 的 智能 卡 读 卡 器 , 它们 的 驱动 程序 只 在 探测 到 相应 的 
即 插 即 用 智能 卡 读 卡 器 硬件 时 才 被 安装 。 
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表 2-1 Windows 2000 支持 的 需 安装 的 智能 卡 读 卡 器 


智能 卡 读 取 器 
CP8 Smart TLP3 


Bulltlp3.sys 


Gemplus Gcr410p.sys 
Gemplus | | Gpr400.sys 
Litronic | 220Pp RS-232 | Lit220p.sys 
Rainbow | Technologies3531 RS-232 | Rnbo3531.sys 
SCM | Microsystems SwapSmart | Scmstcs.sys 


SCM PCMCIA 


Microsystems SwapSmart Pscr.sys 


在 安装 Windows 2000 时 ， 对 Gemplus GemSAFE 和 Schlumberger Cryptoflex 智能 卡 的 
支持 包含 在 默认 安装 中 ， 在 客户 端 或 服务 器 上 不 需要 进行 任何 配置 即 可 使 用 这 些 卡 。 
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信息 安全 对 今天 的 网 络 系统 来 说 ， 是 一 个 重要 而 严重 的 问题 ， 它 涉及 从 硬件 到 软件 、 
从 单机 到 网 络 的 各 个 方面 的 安全 性 机 制 。 而 网 络 操作 系统 的 安全 性 是 整个 网 络 系统 安全 体 
系 中 的 基础 环节 。Windows 2000 的 分 布 式 安全 机 制 ， 实 现 了 高 度 的 安全 性 集成 ， 以 保护 和 
促进 业务 的 发 展 。 


3.1 Windows 2000 的 安全 性 设计 
作为 继 Windows NT 之 后 的 新 一 代 的 企业 级 网 络 操作 系统 ，Windows 2000 的 安全 特性 
主要 体现 在 三 个 方面 。 
1. 对 Internet 上 的 新 型 服务 的 支持 


Windows 2000 可 以 实现 移动 办 公 、 远 程 服务 、 安 全 通信 和 基于 SSL/TLS 的 电子 商务 
等 服务 。 


2. 使 用 安全 性 框架 


Windows 2000 中 有 “安全 服务 提供 者 接口 >， 即 SSPI (Security Service Provider 
Interface)， 方 便 了 其 他 验证 方式 ， 在 Windows 2000 中 对 其 上 层 应 用 层 来 说 ， 没 有 任何 不 同 。 


3. 实现 对 Windows NT 4.0 的 网 络 支持 


Windows 2000 提供 了 对 Windows NT 4.0 中 采用 的 NTLM (NT LAN Manager) 安全 验 
证 机 制 的 支持 。 用 户 可 以 迁移 到 Windows 2000 中 , 替代 NTLM 的 Kerberos 安全 验证 机 制 。 


3.2 ”Windows 2000 中 的 验证 服务 架构 


在 Windows 2000 中 的 验证 服务 是 以 整个 体系 框架 的 结构 来 完成 的 ， 它 的 具体 验证 服 
务 架 构 如 图 3-1 所 示 。 


第 3 章 Windows 2000 操作 系统 的 安全 管理 
45 


使 用 安全 服务 提供 者 接口 SSPI，Windows 2000 实现 了 应 用 协议 和 底层 安全 验证 协议 
的 分 离 。 不 管 是 NTLM、Kerberos、SSL 还 是 DPA， 对 于 应 用 层 而 言 ， 都 是 一 样 的 。 


CIF S/SMB Secure RPC HTTP POP3\ NNTP LDAP 


| | | | | 


NTLM Kerberos SSL/TLS DPA 


电子 邮件 
贡 大 室 
BBS 


图 3-1 


Kerberos 的 验证 机 制 

Kerberos 是 在 Internet 上 广泛 采用 的 一 种 安全 验证 机 制 ， 它 基于 公 钥 技术 。Kerberos 
协议 规定 了 客户 机 、 密 钥 发 布 中 心 (Key Distribution Center，KDC )、 服 务 器 三 者 之 间 获 得 
和 使 用 Kerberos 票证 进行 通信 规则 和 过 程 。 

Kerberos 验证 机 制 加 强 了 Windows 2000 的 安全 性 ， 它 使 网 络 应 用 服务 验证 速度 
更 快捷 ， 同 时 可 以 建立 域 信任 以 及 在 建立 域 信任 的 域 中 传递 信任 关系 ， 另 外 Kerberos 
验证 有 互 操作 性 的 优势 。 在 一 个 多 种 操作 系统 并 存 的 异 构 网 络 环境 中 ，Kerberos 协议 使 
用 一 个 统一 的 用 户 数据 库 对 各 种 用 户 进行 验证 ， 这 样 就 解决 了 现在 异 构 环境 中 的 统一 验 
证 问题 。 


3.3 ”Windows 2000 安全 特性 


Windows 2000 有 数据 安全 性 、 企 业 间 通 信 的 安全 性 、 企 业 和 Internet 的 单 点 安全 登录 
以 及 易 用 和 良好 扩展 性 的 安全 管理 等 安全 特性 。 


1. 数据 安全 性 


数据 安全 是 指数 据 的 保密 性 和 完整 性 ，Windows 2000 的 数据 安全 性 如 下 。 

1) 用 户 登 录 时 的 安全 性 

在 用 户 登 录 网 络 时 ， 数 据 的 安全 保护 开始 ，Windows 2000 使 用 Kerberos 和 PKI 验证 
协议 提供 了 强 有 力 的 口令 保护 和 单 点 登录 。 

2) 网 络 数据 的 保护 

网 络 数据 指 的 是 本 地 网 络 中 数据 以 及 不 同 网 络 间 传送 的 数据 : 

。 本 地 网 络 的 数据 是 由 验证 协议 以 及 卫 Security 加 密 来 实现 。 

。 网 络 间 传 送 的 数据 可 以 通过 IP Security 加 密 TCP/IP 通信 ，Windows 2000 路 由 和 远 

程 访问 服务 、 代 理 服务 等 实现 。 
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3) 存储 数据 的 保护 


存储 数据 的 保密 在 Windows 2000 中 有 文件 加 密 系 统 以 及 数字 签名 等 来 实现 存储 数据 
的 保密 。 


2. 通信 的 安全 性 

Windows 2000 提供 了 多 种 安全 协议 和 用 户 模式 的 内 置 的 集成 。 它 支持 虚拟 专用 网 
技术 以 及 使 用 公 钥 体制 ， 并 可 以 使 用 电子 证 书 把 外 部 用 户 映射 成 为 目录 服务 中 的 一 个 用 户 
账户 。 

3. 单 点 安全 登录 


Windows 2000 的 用 户 单 点 登录 网 络 后 , 通过 网 络 验 证 之 后 , 它 就 可 以 根据 自己 拥有 的 
权限 访问 其 相应 的 服务 ，Windows 2000 透明 地 管理 一 个 用 户 的 安全 属性 ( Security 
Credentials)， 如 图 3-2 及 图 3-3 所 示 。 


欢迎 使 用 Windows 


Es Windows 2000 | 


基于 卫 技术 构建 


po 


ES 请 按 Ctr-Alt-Delete 开始 。 


Ctrl-Alt-Del 有 助 于 维护 密码 的 安全 性 。 单 击 “ 帮 助 ”可 以 了 解 到 更 详细 
的 信息 。 


图 3-2 
登录 到 Windows 
Microsoft 
加 |] "Windows 2000 
Server 
基于 了 T 技术 构建 
用 户 名 他 人 aninistrator 
密码 名 ): | 
取消 ”| 选项 @) 六 | 
图 3-3 
4. 安全 的 管理 性 


Windows 2000 使 用 安全 性 模板 对 计算 机 进行 安全 性 配置 和 分 析 。 安全 性 模板 MMC 提 
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供 多 种 管理 模板 从 而 实现 了 对 工作 站 、 服 务 器 、 域 控制 器 的 安全 管理 ， 在 这 些 安全 性 模板 
中 ， 可 以 配置 相应 的 安全 策略 。 


3.4 Windows 2000 组 策略 的 管理 安全 


在 Windows 2000 中 可 以 通过 组 策略 来 实现 安全 设置 。 


3.4.1 


Windows 2000 中 的 组 策略 


在 Windows 2000 中 的 组 策略 有 如 下 几 种 : 


1 


账户 策略 \ 密 码 策略 。 配 置 密码 存留 期 、 长 度 和 复杂 性 ; 
账户 策略 \ 账 户 锁定 策略 。 配 置 锁定 时 间 、 阔 值 和 复位 计数 器 ; 
账户 策略 \Kerberos 策略 。 配 置 票证 寿命 ; 

本 地 策略 \ 审 计策 略 。 启 用 /禁用 特定 事件 的 记录 ; 

本 地 策略 \ 用 户 权限 。 定 义 权 限 ， 如 本 地 登录 、 从 网 络 访问 等 ; 
本 地 策略 \ 安 全 选项 。 修 改 与 注册 表 值 有 关 的 特定 安全 选项 ; 
事件 日 志 。 启 用 成 功 或 失败 监视 ， 

受 限 制 的 组 。 管 理 员 可 控制 谁 属于 特定 组 ; 

系统 服务 。 控 制 每 个 服务 的 启动 模式 ， 

注册 表 。 对 注册 表 项 配置 权限 ; 

文件 系统 。 对 文件 夹 、 子 文件 夹 和 文件 配置 权限 。 


， 密 码 策 略 


默认 情况 下 ， 将 对 域 中 的 所 有 服务 器 强制 执行 一 个 标准 密码 策略 。 密 码 策略 如 图 3-4 


所 示 ， 


默认 设置 和 最 低 设置 如 表 3-1 所 示 。 
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表 3-1 密码 策略 的 默认 设置 和 最 低 设置 


策略 推荐 最 低 设置 
强制 执行 密码 历史 记录 记 住 24 个 密码 
密码 最 长 期 限 42 天 
密码 最 短期 限 2 天 
最 短 密码 长 度 8 个 字符 
密码 必须 符合 复杂 性 要 求 启用 
为 域 中 所 有 用 户 使 用 可 还 原 的 加 密 来 存储 密码 禁用 


当 组 策略 的 “密码 必须 符合 复杂 性 要 求 ” 设 置 启用 后 ， 它 要 求 密码 必须 为 6 个 字 
符 长 〈 建 议 将 此 值 设 置 为 8 个 字符 )。 它 还 要 求 密码 中 必须 包含 下 面 类 别 中 至 少 三 个 类 别 
的 字符 : 

。 英语 大 写字 母 A，B，C，…，Z。 

。 英语 小 写字 母 a，b，c，…，z。 

。 西方 阿拉 伯 数 字 0，1，2，…，9。 

。 非 字 母 数字 字符 ， 如 标点 符号 等 。 


注意 : 密码 策略 不 应 只 对 运行 Windows 2000 的 服务 器 强制 执行 ， 还 应 对 其 他 任何 要 
求 使 用 密码 进行 身份 验证 的 设备 强制 执行 。 网 络 设备 ， 例 如 路 由 器 和 交换 机 ， 如 果 使 用 简 
单 密码 ， 则 极 易 受到 攻击 ， 攻 击 者 可 能 会 尝试 控制 这 些 网 络 设备 以 便 绕 过 防火 墙 。 


2 账户 锁定 策略 


有 效 的 账户 锁定 策略 有 助 于 防止 攻击 者 猜 出 用 户 的 账户 的 密码 , 如 图 3-5 所 示 。 表 3-2 
列 出 了 一 个 默认 账户 锁定 策略 的 设置 以 及 针对 用 户 的 环境 推荐 的 最 低 设置 。 


] 涤 作 (8) 查看 W | 守 消 | 人 | 四 | 加 | 区 
树 


0 次 无 效 登录 0 次 天 站 旨 录 


RE 
外- 国 本 地 第 略 
由 - 国 公 钥 第 略 
由 轧 人 安全 第 略 , 在 本 


图 3-5 


使 用 表 3-2 中 列 出 的 推荐 最 低 设置 , 若 在 30 分 钟 内 经 过 5 次 无 效 登 录 尝试 的 账户 将 被 
锁定 30 分 钟 (过 此 时 间 段 后 它 将 复位 到 0 次 无 效 登 录 尝 试 , 于 是 就 可 以 再 次 尝试 登录 了 )。 
只 有 在 管理 员 将 锁定 计数 复位 后 才能 在 30 分 钟 之 内 激活 该 账户 。 为 提高 组 织 中 的 安全 级 
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别 ， 你 应 考虑 提高 账户 锁定 期 限 并 降低 账户 锁定 阔 值 。 
表 3-2 ”默认 账户 锁定 策略 设置 及 最 低 设置 


策略 推荐 最 低 设置 
账户 锁定 时 间 30 分 钟 
账户 锁定 阔 值 5 次 无 效 登 录 


复位 账户 锁定 计数 器 30 分 钟 


注意 : 密码 和 账户 策略 必须 在 域 级 别 设置 。 如 果 在 OU 级 别 或 Active Directory 中 的 其 
他 任何 位 置 设置 这 些 账户 ， 它 们 将 影响 本 地 账户 而 非 域 账户 。 


3. 成 员 服务 器 基准 策略 


一 旦 配置 了 域 级 别 的 设置 ， 就 应 该 为 所 有 成 员 服 务 器 定义 公用 的 设置 。 这 是 通过 “成 
员 服 务 器 OU 〈 组 织 单位 )” 中 的 一 个 GPO〈Group Policy Object， 组 策略 对 象 ) 完成 的 ， 
我 们 称 之 为 基准 策略 。 一 个 公用 的 GPO 可 将 对 各 服务 器 配置 特定 安全 设置 的 过 程 自动 化 。 
还 需要 手动 应 用 一 些 无 法 通过 组 策略 完成 的 附加 安全 设置 。 

成 员 服务 器 的 基准 组 策略 如 下 : 

。 审计 策略 ”确定 如 何在 服务 器 上 执行 审计 。 

。 安全 选项 ”使 用 注册 表 值 确定 特定 的 安全 设置 。 

。 注册 表 访问 控制 列表 “确定 谁 可 以 访问 注册 表 。 

。 文件 访问 控制 列表 ”确定 谁 可 以 访问 文件 系统 。 

。 服务 配置 ”确定 哪些 服务 需要 启动 、 停 止 、 禁 用 等 。 

1) 成 员 服 务 器 基准 审计 策略 

应 用 程序 、 安 全 性 和 系统 事件 日 志 的 设置 都 在 该 策略 中 配置 并 应 用 到 域 中 的 所 有 成 员 
服务 器 。 各 日 志 的 大 小 都 设置 为 10 兆 字 节 (MB)， 而 且 各 日 志 都 配置 为 不 改写 事件 。 所 
以 管理 员 必 须 定 期 查看 日 志 并 根据 需要 进行 归档 或 清理 。 图 3-6 为 成 员 服务 器 基准 审核 策 
略 界面 ， 审 核 策略 的 计算 机 设置 见 表 3-3。 


ETEEEBI 
上 」 换 人 ECQ) 查看 W || 全 少 | 旬 | 加 | 加 | 多 
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注意 : 如 果 有 一 个 管理 系统 定期 监视 日 志 中 的 特定 事件 ， 将 详细 信息 抽取 并 转发 到 一 
个 管理 数据 库 中 ， 就 能 够 捕捉 到 必需 的 数据 ， 并 因此 可 以 将 日 志文 件 设置 为 在 日 志 满 时 改 
写 旧 事件 。 


表 3-3 审计 策略 的 计算 机 设置 


策略 计算 机 设置 
审计 账户 登录 事件 成 功 ， 失 败 
审计 账户 管理 成 功 ， 失 败 
审计 目录 服务 访问 失败 
审计 登录 事件 成 功 ， 失 败 
审计 对 象 访问 成 功 ， 失 败 
审计 策略 更 改 成 功 ， 失 败 
审计 特权 使 用 失败 
审计 过 程 追 踪 无 审计 
审计 系统 事件 成 功 ， 失 败 
限制 对 应 用 程序 日 志 的 来 宾 访 问 启用 
限制 对 安全 日 志 的 来 宾 访问 启用 
限制 对 系统 日 志 的 来 宾 访问 启用 
应 用 程序 日 志 的 保留 方法 不 要 改写 事件 (手动 清除 日 志 ) 
安全 日 志 的 保留 方法 不 要 改写 事件 (手动 清除 日 志 ) 
系统 日 志 的 保留 方法 不 要 改写 事件 (手动 清除 日 志 ) 
安全 审计 日 志 满 后 关闭 计算 机 未 定义 


2) 成 员 服务 器 基准 安全 选项 策略 
基准 组 策略 中 成 员 服务 器 基准 安全 选项 策略 设置 见 表 3-4， 用 户 权限 指派 设置 界面 如 
图 3-7 所 示 。 


表 3-4 基准 安全 选项 策略 设置 


选 项 设置 

对 匿名 连接 的 附加 限制 没有 显 式 匿名 权限 就 无 法 访问 
允许 服务 器 操作 员 计 划 任 务 禁用 

允许 在 未 登录 前 系统 关机 禁 

允许 弹出 可 移动 NTFS 媒体 管理 员 

在 断 开 会 话 之 前 所 需 的 空闲 时 间 15 分 钟 

对 全 局 系统 对 象 的 访问 进行 审计 禁用 

对 备份 和 还 原 权 限 的 使 用 进行 审计 禁用 

登录 时 间 过 期 就 自动 注销 用 户 未 定义 

当 登 录 时 间 过 期 就 自动 注销 用 户 〈《 本 地 ) 启用 

在 系统 关机 时 清除 虚拟 内 存 页 面 交换 文件 启用 

对 客户 端 通信 使 用 数字 签名 始终 ) 启用 

对 客户 端 通信 使 用 数字 签名 (如 果 可 能 ) 启用 

对 服务 器 通信 使 用 数字 签名 (始终 ) 启用 
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续 表 
选 项 设 和 置 
对 服务 器 通信 进行 数字 签名 (如 果 可 能 ) 启用 
禁用 按 组 合 键 Ctrl+Alt+Del 进行 登录 的 设置 禁用 
登录 屏幕 上 不 要 显示 上 次 登录 的 用 户 名 启用 
LAN Manager 身份 验证 级 别 仅 发 送 NTLMv2 响应 ， 拒 绝 
LM&NTLM 
用 户 尝 试 登录 时 消息 文字 
用 户 尝试 登录 时 消息 标题 
缓冲 保存 的 以 前 登录 次 数 〈 在 域 控制 器 不 可 用 的 情况 下 ) 0 次 登录 
防止 计算 机 账户 密码 的 系统 维护 禁用 
防止 用 户 安装 打印 机 驱动 程序 启用 
在 密码 到 期 前 提示 用 户 更 改 密码 14 天 
故障 恢复 控制 台 : 允许 自动 管理 登录 禁用 
故障 恢复 控制 台 允许 对 驱动 器 和 文件 夹 进行 软盘 复制 和 访问 禁用 
重 命名 Administrator 账户 未 定义 
重 命名 Guest 账户 未 定义 
只 有 本 地 登录 的 用 户 才能 访问 CD-ROM 启用 
只 有 本 地 登录 的 用 户 才能 访问 软盘 启用 
安全 通道 ， 对 安全 通道 数据 进行 数字 加 密 或 签名 〈 始 终 ) 启用 
安全 通道 ， 需 要 强 〈Windows 2000 或 以 上 版 本 ) 会 话 密 钥 启用 
安全 系统 磁盘 分 区 (只 适 于 RISC 操作 平台 ) 未 定义 
发 送 未 加 密 的 密码 以 连接 到 第 三 方 SMB 服务 器 禁用 
如 果 无 法 记录 安全 审计 则 立即 关闭 系统 启用 
未 签名 驱动 程序 的 安装 操作 禁止 安装 


Badaup Operators, , 


Administrators 


., Users,Power Users,,, 
Xx-588CDIABOD2C,., Xx-588CD3AB0D2C. ,| 
Administrators Administrators 
Administrators Administrators 
Power Users, Admini... Power Users, Admini,, 
Power Users,Backu... Power Users,Backy... 
Administrators Administrators 

Backup Operators,,., Backup Operators,,,, 


由 和 国 
由 电 


.Power Users,Admini,, 加 
可 
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注意 : 如 果 明 显 增加 审计 的 对 象 数目 ， 就 会 有 填 满 安全 日 志 并 因而 强制 系统 关闭 的 风 
险 ， 于 是 系统 将 无 法 使 用 ， 直 到 管理 员 清 理 了 日 志 为 止 。 为 防止 这 一 点 ， 应 禁用 表 中 所 列 
的 关机 选项 ， 或 者 增加 安全 日 志 的 大 小 。 


在 上 述 安 全 的 配置 管理 中 一 定 要 注意 以 下 几 点 的 管理 与 配置 。 

。 对 匿名 连接 的 附加 限制 。 

默认 情况 下 ，Windows 2000 允许 匿名 用 户 执 行 某 些 活动 ， 如 枚 举 域 账 户 和 网 络 共享 区 
的 名 称 。 这 使 得 攻击 者 无 须 用 一 个 用 户 账户 进行 身份 验证 就 可 以 查看 远程 服务 器 上 的 账户 
和 共享 名 。 为 了 更 好 地 保护 匿名 访问 ,可 以 配置 “没有 显 式 匿名 权限 就 无 法 访问 ”。 这 样 做 
的 效果 是 Everyone (所 有 人 ) 组 将 不 能 匿名 访问 ， 也 就 是 对 服务 器 的 任何 匿名 访问 都 将 被 
禁止 ， 而 且 对 任何 资源 都 要 求 显 式 访问 。 

。 LAN Manager 身份 验证 级 别 。 

Microsoft Windows 9x 和 Windows NT 操作 系统 不 能 使 用 Kerberos 进行 身份 验证 。 可 
以 通过 使 用 NTLMv2 对 Windows 9x 和 Windows NT 强制 执行 一 个 更 安全 的 身份 验证 协议 。 
对 于 登录 过 程 ，NTLMv2 引入 了 一 个 安全 的 通道 来 保护 身份 验证 过 程 。 


注意 : 如 果 确 实 要 针对 Windows 9x 和 NT 使 用 NTLMv2，Windows 2000 客户 机 和 服 
务 器 将 继续 使 用 Kerberos 向 Windows 2000 域 控 制 器 进行 身份 验证 。 


。 对 客户 /服务 器 通信 使 用 数字 签名 。 

在 高 度 安全 的 网 络 中 实现 数字 签名 有 助 于 防止 客户 机 和 服务 器 被 模仿 〈 即 所 谓 “ 会 
话 劫持 ”或 “中 间 人 ”攻击 )。 服 务 器 消息 块 SMB ) 签名 既 可 验证 用 户 身 份 ， 又 可 
验证 托管 数据 的 服务 器 的 身份 。 如 有 任何 一 方 不 能 通过 身份 验证 ， 数 据 传输 就 不 能 进行 。 
但 在 实现 了 SMB 后 ， 因 为 对 服务 器 间 的 每 一 个 数据 包 进 行 了 签名 和 验证 ， 性 能 最 多 会 
降低 15%。 


4. 禁用 自动 运行 功能 


一 个 媒体 插入 一 个 驱动 器 ， 自 动 运行 功能 就 开始 从 该 驱动 器 读 取 数 据 ， 这 样 ， 程 序 的 
安装 文件 和 音频 媒体 上 的 声音 就 可 以 立即 启动 。 为 防止 可 能 有 恶意 的 程序 在 媒体 插入 时 就 
启动 ， 组 策略 禁用 了 所 有 驱动 器 的 自动 运行 功能 。 

在 注册 表 中 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorern\ 下 
的 用 以 禁用 所 有 驱动 器 上 的 自动 运行 功能 的 设置 NoDriveTypeAutoRun 的 DWORD 为 
OxFF。 


5. 成 员 服 务 器 基准 文件 访问 控制 列表 策略 


为 加 强 文件 系统 安全 ， 应 确保 对 域 中 的 所 有 成 员 服务 器 公用 的 目录 和 文件 应 用 限制 性 
更 强 的 权限 。“ 成 员 服务 器 基准 安全 模板 ”包含 了 由 hisecws.inf 模板 提供 的 所 有 文件 访问 
控制 列表 并 添加 了 许多 文件 夹 和 文件 的 设置 。 

表 3-5 列 出 了 除 由 hisecws.inf 中 的 设置 定义 的 文件 夹 外 , 还 有 “成 员 服 务 器 基准 策略 ” 
保护 的 其 他 文件 夹 。 
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表 3-5 成 员 服务 器 基准 策略 保护 的 其 他 文件 夹 及 应 用 权限 


保护 的 文件 夹 应 用 的 权限 
%SystemDrive%\ Administrators: 完全 控制 
System: 完全 控制 
Authenticated Users: 读 取 和 执行 、 列 出 文件 夹 内 容 、 读 取 
%SystemRoot%\Repair Administrators: 完全 控制 
%SystemRoot%\Security Creator/Owner: 完全 控制 
%SystemRoot%\Temp System: 完全 控制 


%SystemRoot%\system32\Config 
%SystemRoot%\system32\Logfiles 
%SystemDrive%\Inetpub 


Administrators: 完全 控制 
System: 完全 控制 
Everyone: 读 取 和 执行 、 列 出 文件 夹 内 容 、 读 取 


注意 : %SystemRoot% 定 义 了 Windows 系统 文件 所 在 的 路 径 和 文件 夹 名 ，%System- 
Drive% 定 义 了 包含 %SystemRoot% 的 驱动 器 。 

服务 器 上 安装 的 大 量 文件 中 还 有 许多 应 进一步 锁定 。 成 员 服 务 器 基准 策略 将 更 改 默 认 
Windows 启动 文件 中 的 以 及 可 从 命令 提示 符 下 运行 的 许多 可 执行 文件 中 的 ACL。 


3.4.2 ”加 强 内 置 账户 的 安全 


Windows 2000 有 几 个 内 置 的 用 户 账户 ， 它 们 不 可 删除 ， 但 可 以 重 命 名 。 我 们 最 熟悉 的 
Windows 2000 中 的 两 个 内 置 账户 是 Guest (来 宾 ) 和 Administrator (管理 员 )。 默认 情况 下 ， 
Guest 账户 在 成 员 服 务 器 和 域 控制 器 上 是 禁用 的 , 建议 不 更 改 此 设置 。 内置 的 Administrator 
账户 应 重 命名 ， 且 其 描述 也 要 更 改 ， 以 防 攻 击 者 使 用 已 知 用 户 名 破坏 一 个 远程 服务 器 ， 因 
为 许多 有 恶意 的 脚本 在 攻击 服务 器 时 都 使 用 内 置 的 管理 员 账 户 进行 第 一 次 尝试 。 


1. 加 强 本 地 管理 员 账 户 安全 


每 一 个 成 员 服务 器 都 有 一 个 本 地 账户 数据 库 和 一 个 本 地 管理 员 账 户 ， 此 账户 对 该 服务 
器 有 完全 控制 权 ， 所 以 此 账户 非常 重要 。 建 议 重 命名 此 账户 ， 并 确保 它 使 用 一 个 复杂 
的 密码 。 另 外 还 应 确保 本 地 管理 员 密 码 未 在 成 员 服 务 器 间 复 制 。 如 果 它 们 被 复制 
了 ， 那 么 获得 了 对 一 个 成 员 服 务 器 的 访问 权 的 攻击 者 ， 将 能 够 访问 其 他 所 有 使 用 相同 密 
码 的 服务 器 。 

不 要 使 本 地 管理 员 账户 成 为 域 管理 组 的 一 部 分 ， 因 为 这 样 会 使 它们 的 能 力 超出 管理 成 
员 服 务 器 所 需 的 能 力 。 出 于 同样 的 原因 ， 要 确保 只 使 用 本 地 账户 来 管理 网 络 中 的 成 员 服 
务 器 。 


2. 加 强 服务 账户 安全 


Windows 2000 服务 一 般 都 在 本 地 系统 账户 下 运行 , 但 它们 也 可 以 在 一 个 域 用 户 或 本 地 
账户 下 运行 。 只 要 可 能 ， 就 应 使 用 本 地 账户 而 非 域 用 户 账户 。 每 个 服务 都 在 其 服务 账户 的 
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安全 上 下 文中 运行 ， 所 以 如 果 一 个 攻击 者 挟 制 了 某 一 成 员 服务 器 上 的 一 个 服务 ， 则 该 服务 
账户 可 能 就 会 被 用 来 攻击 域 控制 器 。 在 确定 使 用 哪 一 个 账户 作为 服务 账户 时 ， 应 确保 为 此 
账户 指定 的 特权 限制 在 保证 此 服务 成 功 运行 所 需 的 特权 范围 内 ， 如 表 3-6 所 示 。 


表 3-6 各 种 服务 账户 的 访问 权限 


在 Windows 2000 计算 机 上 | 仅 网 内 所 有 Windows 2000 服务 器 | 多 网 应 用 程序 , 域 间 有 NTLM 信任 
运行 服务 时 的 身份 验证 关系 


本 地 用 户 服务 账户 无 网 络 资源 , 仅 可 在 账户 的 指定 特 | 无 网 络 资源 ， 仅 可 在 账户 的 指定 特 
权 下 进行 本 地 访问 权 下 进行 本 地 访问 

域 用 户 服务 账户 可 作为 域 用 户 进行 网 络 访问 , 在 用 | 可 作为 域 用 户 进行 网 络 访问 ， 在 用 
户 的 特权 下 进行 本 地 访问 户 的 特权 下 进行 本 地 访问 

LocalSystem 


作为 机 器 账户 已 验证 用 户 进行 网 | 没有 跨 网 的 网 络 资源 ， 可 在 
络 访问 ， 在 LocalSystem 账户 下 进 | LocalSystem 账户 下 进行 本 地 访问 
行 本 地 访问 


3.4.3 组 策略 的 安全 模板 


1. 组 策略 的 配置 设置 存储 位 置 


组 策略 的 存储 位 置 是 GPO 位 于 Active Directory 中 ， 安 全 模板 文件 位 于 本 地 文件 系统 
中 。 对 GPO 所 做 的 更 改 直接 保存 在 Active Directory 中 ， 而 对 安全 模板 文件 所 做 的 更 改 必 
须 先导 回 到 Active Directory 内 的 GPO 中 ， 才 能 应 用 所 做 的 更 改 。 

2. Windows 2000 的 安全 模板 

Windows 2000 的 安全 模板 有 如 下 几 种 : 

。 Basicwk.inf 适用 于 Windows 2000 Professional。 

。 Basicsv.inf 适用 于 Windows 2000 Server。 

。 Basicdc.inf 适用 于 基于 Windows 2000 的 域 控制 器 。 

。 Securedc.inf 和 Hisecdc.inf 适用 于 域 控 制 器 。 

。 Securews.inf 和 Hisecws.inf 适用 于 成 员 服 务 器 和 工作 站 。 


注意 : Windows 2000 默认 安全 模板 以 inf 文件 的 格式 存储 在 %SystemRoot%\Security\ 
Templates 文件 夹 中 。 


3. 安全 模板 的 格式 
模板 文件 是 基于 文本 的 文件 。 表 3-7 列 出 了 策略 部 分 与 模板 文件 部 分 之 间 的 对 应 关系 。 


3.4.4 组 策略 的 实现 


为 了 有 效 地 使 用 组 策略 ， 最 好 在 两 个 级 别 应 用 安全 设置 : 
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表 3-7 策略 部 分 与 模板 文件 部 分 的 对 应 关系 
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策略 部 分 模板 部 分 
账户 策略 系统 访问 
审计 策略 系统 日 志 
安全 日 志 
应 用 程序 日 志 
用 户 权限 特权 
安全 选项 注册 表 值 
事件 日 志 事件 审计 
受 限制 的 组 组 成 员 资格 
系统 服务 服务 常规 设置 
注册 表 注册 表 项 
文件 系统 文件 安全 


。 域 级 一 般 的 安全 要 求 ， 如 对 所 有 服务 器 使 用 的 账户 策略 和 审计 策略 等 。 
。 OU 级 ”对 特定 服务 器 的 安全 要 求 ， 如 IS 的 服务 器 等 。 
图 3-8 为 一 个 组 策略 的 实例 。 


| 域 策 略 


好 一 


八 司 域 容 
人 计算 机 。。 结 入 名 略 
DE 结构 服务 器 
域 控制 器 。 | 应 用 各 序 
= 应 用 程序 
基准 策略 La 
计件 与 打印 
服务 器 | 办 
文件 与 打印 
服务 器 
JS 1 
用 户 策略 -[G] 
TS 服务 器 
图 3-8 


1. 创建 OU 结构 


创建 OU 结构 的 具体 步骤 如 下 。 

(1) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”， 
打开 “活动 目录 ”。 

(2) 右 击 “域名 ”， 选 择 “ 新 建 ”” 然 后 选择 “组 织 单位 ”选项 。 
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(3) 输入 成 员 服务 器 ， 然 后 单 击 “确定 ”按钮 。 

(4) 右 击 成 员 服务 器 ， 选 择 “ 新 建 ”， 然 后 选择 “组 织 单位 ”选项 。 

(5) 输入 应 用 程序 服务 器 ， 然 后 单 击 “确定 ”按钮 。 

对 文件 和 打印 服务 器 、IIS 服务 器 和 基础 结构 服务 器 重复 第 (5) 和 第 〈6)。 


2. 域 级 策略 


在 构建 Windows 2000 域 时 ， 创 建 了 一 个 默认 的 域 策 略 。 对 于 要 应 用 到 整个 域 中 的 安 
全 设置 来 说 ， 可 执行 以 下 任 一 操作 。 

。 创建 另 一 个 策略 并 将 其 链接 到 高 于 默认 策略 级 别 的 位 置 。 

。 修改 现 有 的 默认 策略 。 


注意 : 域 中 一 般 包 含 客户 机 、 用 户 和 服务 器 。 建 议 将 服务 器 安全 设置 限制 在 那些 必须 
在 域 级 设置 的 设置 。 如 果 密 码 和 账户 策略 是 在 域 级 设置 的 ， 那 么 它们 将 只 影响 域 账 户 ; 如 
果 这 些 策略 是 在 OU 级 别 或 其 他 任何 位 置 设置 的 ， 那 么 它们 只 影响 本 地 账户 。 


1) 导入 域 控制 器 基准 策略 

(1) 在 Active Directory 用 户 和 计算 机 中 ， 右 击 域 控制 器 ， 然 后 选择 “属性 ”按钮 。 

(2) 在 “组 策略 ”选项 卡 上 ， 单 击 “ 新 建 ” 按 钮 以 添加 新 的 组 策略 对 象 。 

(3) 输入 BaselineDC Policy， 然 后 按 Enter 键 。 

(4) 右 击 BaselineDC Policy， 然 后 选择 “禁止 奉 代 ”选项 。 

(5) 单 击 “ 编 辑 ” 按 钮 ， 展 开 Windows 设置 ， 右 击 “ 安 全 设置 ?， 然 后 选择 “导入 策 
略 ”选项 。 

(6) 在 “策略 导入 来 源 ” 对 话 框 中 , 浏览 C: \SecurityOps\Templates， 然 后 双击 Baseline- 
DC.inf 。 

(7) 关闭 “组 策略 ”选项 卡 ， 然 后 单 击 “关闭 ”按钮 。 

完成 导入 域 控制 器 基准 策略 之 后 ， 在 域 控制 器 之 间 强 制 进行 复制 ， 以 便 所 有 的 域 
控制 器 都 具有 该 策略 。 并 在 “事件 日 志 ” 中 验证 策略 是 否 已 成 功 下 载 ， 并 验证 服务 器 
能 否 与 域 中 的 其 他 域 控 制 器 进行 通信 。 再 一 次 重新 启动 一 个 域 控制 器 以 确保 它 能 成 功 地 重 
新 启动 。 

2) 导入 成 员 服务 器 策略 

(1) 在 Active Directory 用 户 和 计算 机 中 ， 右 击 “ 成 员 控 制 器 ” 然后 单 击 “ 属 性 ” 
按钮 。 

(2) 在 “组 策略 ”选项 卡 上 ， 单 击 “ 新 建 ” 按 钮 以 添加 新 的 组 策略 对 象 。 

(3) 输入 Baseline Policy， 然 后 按 Enter 键 。 

(4) 单 击 “ 编 辑 ” 按 钮 ， 展 开 Windows 设置 ， 右 击 “ 安 全 设置 ?， 然 后 选择 “导入 策 
略 ” 选 项 。 

(5) 在 “策略 导入 来 源 ” 对 话 框 中 , 浏览 C:\SecurityOps\Templates, 然后 双击 Baseline.inf。 

(6) 关闭 “组 策略 ”选项 卡 ， 然 后 单 击 “关闭 ”按钮 。 

对 于 其 他 应 用 服务 器 ， 它 们 的 相关 安全 模板 如 表 3-8 所 示 。 
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表 3-8 其 他 应 用 服务 器 及 其 安全 模板 


OU 安全 模板 
文件 和 打印 服务 器 文件 和 打印 Incremental.inf 
IIS 服务 器 IIS Incremental.inf 
基础 结构 服务 器 基础 结构 Incremental.inf 


另外 要 将 每 个 角色 所 对 应 的 服务 器 都 移 到 相应 的 OU 中 , 在 服务 器 上 使 用 secedit 命令 
来 下 载 策 略 。 并 且 在 “事件 日 志 ” 中 验证 策略 是 否 已 成 功 下 载 ， 验 证 服务 器 能 否 与 域 控制 
器 和 域 中 的 其 他 服务 器 进行 通信 。 在 该 OU 中 成 功 测试 一 个 服务 器 之 后 ， 将 其 余 服 务 器 移 
到 该 OU 中 ， 然 后 应 用 “安全 ”， 再 重新 启动 每 个 服务 器 以 确保 它们 能 成 功 地 重新 启动 。 


3.“ 事 件 日 志 ” 中 的 事件 


如 果 策 略 已 成 功 下 载 ， 将 出 现 包 含 以 下 信息 的 “事件 日 志 ” 事 件 : 

。 类 型 ”信息 

。 来 源 ID SceCli 

。 事件 ID 1704 

。 消息 字符 串 ” 组 策略 对 象 中 的 安全 策略 被 成 功 应 用 

在 应 用 该 策略 之 后 ， 可 能 要 过 几 分 钟 后 才 显 示 此 消息 。 如 果 没 有 收 到 成 功 的 事件 日 志 
消息 ， 则 需要 运行 seceditrefreshpolicy machine_policy/enforce， 然 后 重新 启动 服务 器 以 强 
制 下 载 策略 。 在 重新 启动 之 后 再 次 检查 “事件 日 志 ” 以 验证 策略 是 否 已 成 功 下 载 。 


注意 : 如 果 服 务 在 GPO 中 设置 为 “禁用 ” 且 服 务 器 重新 启动 了 一 次 ， 则 在 GPO 中 定 
义 的 设置 生效 之 前 ， 这 些 服务 通常 已 经 重新 启动 。 再 次 重新 启动 服务 器 将 确保 设置 为 “ 禁 
用 ”的 服务 不 被 启动 。 

4. 策略 的 验证 


策略 的 验证 有 以 下 两 种 方法 。 

1) 使 用 “本 地 安全 策略 ”MMC 验证 策略 

(1) 启动 本 地 安全 策略 MMC。 

(2) 在 安全 设置 下 ， 单 击 “ 本 地 策略 ”然后 单 击 “ 安 全 ”选项 。 

(3) 在 右 窗 格 中 ， 查 看 “有 效 设置 ” 列 。“ 有 效 设置 ” 列 应 当 显 示 在 模板 中 为 选 定 服 
务 器 角色 配置 的 设置 。 

2) 使 用 命令 行 工具 验证 策略 

secedit 

此 工具 包括 在 Windows 2000 中 ， 它 可 用 于 显示 模板 文件 和 计算 机 的 策略 之 间 的 区 别 。 
若 要 将 某 个 模板 与 计算 机 上 的 当前 策略 进行 比较 ， 请 使 用 如 下 命令 行 : 


secedit/analyze/db secedit.sdb/cfg< 模 板 名 > 


注意 : 如 果 在 应 用 本 指南 附带 的 模板 之 后 运行 上 述 命令 ， 则 将 产生 “访问 被 拒绝 ” 错 
误 。 这 是 应 用 了 其 他 安全 策略 而 产生 的 预期 错误 ， 生 成 的 日 志文 件 仍 带 有 分 析 结 果 。 
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3.5 ”审计 与 入 侵 检 测 


现在 随 着 网 络 安全 技术 的 快速 发 展 ， 入 侵 技术 也 是 日 新 月 异 ， 隐 蔽 性 越 来 越 强 ， 所 以 
为 了 保证 操作 系统 安全 必须 有 审计 和 入 侵 检测 。 下 面 介 绍 审计 和 入 侵 检 测 。 


3.5.1 审计 


审计 的 主要 目标 是 识别 攻击 者 对 网 络 所 采取 的 操作 。 一 个 攻击 者 可 能 企图 危害 网 络 上 
的 多 台 计算 机 和 设备 ， 因 此 为 了 了 解 任何 攻击 的 程度 ， 必 须 能 够 协调 和 合并 许多 计算 机 中 
的 信息 。 

如 果 用 户 的 日 志 实用 工具 已 导入 到 数据 库 中 ， 那 么 协调 多 个 日 志 中 的 信息 就 更 加 容易 

。 只 要 所 有 计算 机 中 的 时 间 是 同步 的 ， 就 可 以 按时 间 字 段 进行 排序 ， 并 基于 时 间 间 隔 简 
化 事件 跟踪 。 

审计 事件 分 为 两 类 : 成 功 事件 和 失败 事件 。 成 功 事件 说 明 用 户 成 功 地 获得 了 访问 某 种 
资源 的 权限 , 而 失败 事件 则 说 明 用 户 尝试 访问 网 络 的 某 项 资源 ,但 失败 了 。 在 Windows 2000 
中 的 安全 事件 审计 类 别 一 般 有 八 种 : 登录 事件 、 账 户 登录 事件 、 对 象 访问 、 目 录 服 务 访问 、 
特权 使 用 、 进 程 跟踪 、 系 统 事件 和 策略 更 改 。 


1. 登录 事件 


用 户 每 次 在 计算 机 上 登录 或 注销 时 ， 都 会 在 进行 了 登录 尝试 的 计算 机 的 安全 日 志 中 生 
成 一 个 事件 。 另 外 ， 在 用 户 连 接 到 远程 服务 器 后 ， 在 远程 服务 器 的 安全 日 志 中 也 将 生成 一 
个 登录 事件 。 在 创建 或 者 销毁 登录 会 话 和 令 牌 时 也 会 分 别 创建 登录 事件 。 

登录 事件 对 于 跟踪 以 交互 方式 登录 服务 器 的 尝试 ， 或 者 对 于 调查 从 特定 计算 机 发 动 的 
攻击 十 分 有 用 。 成 功 审 计 将 在 登录 尝试 成 功 的 情况 下 生成 一 个 审计 项 ， 失 败 审计 也 会 在 登 
录 尝 试 失败 的 情况 下 生成 一 个 审计 项 。 

1) 登录 事件 ID 

一 般 在 日 志 中 的 登录 事件 的 ID 说 明 如 下 。 

528 用户 成 功 地 登录 到 计算 机 。 
。 529 ”有 人 用 未 知 的 用 户 名 进行 了 登录 尝试 ， 或 者 用 已 知 的 用 户 名 进行 了 登录 尝试 ， 

但 密码 不 正确 。 

530 ”用 户 账户 试图 在 不 允许 的 时 间 进 行 登录 。 

531 有 人 使 用 一 个 被 禁用 的 账户 进行 登录 尝试 。 

532 有 人 使 用 一 个 过 期 的 账户 进行 登录 尝试 。 

533 ”未 允许 该 用 户 登录 此 计算 机 。 

。 534 ”该 用 户 试 图 用 不 允许 使 用 的 登录 类 型 (如 网 络 登 录 、 交 互 登 录 、 批 登录 、 服 
务 登录 或 远程 交互 登录 ) 进行 登录 。 

。 535 ”指定 账户 的 密码 已 经 过 期 。 

。 536 “网 络 登录 ”服务 没有 处 于 活动 状态 。 
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。 537 由 于 其 他 原因 登录 尝试 失败 。 
。 538 一 个 用 户 被 注销 。 
。 539 在 有 人 进行 登录 尝试 时 账户 被 锁定 。 此 事件 可 表明 有 人 发 动 密码 攻击 但 未 成 
功 ， 因 而 导致 账户 被 锁定 。 
。 540 网 络 登录 成 功 。 此 事件 表明 远程 用 户 从 网 络 成 功 地 连接 到 服务 器 上 的 本 地 资 
源 ， 并 为 该 网 络 用 户 生 成 了 一 个 令 牌 。 
。 682 ”一 个 用 户 重 新 连接 到 已 断 开 连 接 的 “终端 服务 ”会 话 。 此 事件 表明 有 人 连接 
到 了 以 前 的 “终端 服务 ”会 话 。 
。 683 ”一 个 用 户 没有 注销 就 断 开 了 “终端 服务 ”会 话 连接 。 此 事件 在 一 个 用 户 通 过 
网 络 连接 到 “终端 服务 ”会 话 的 情况 下 生成 ， 它 出 现在 终端 服务 器 上 。 
2) 利用 附录 事件 中 的 日 志 进行 安全 检测 
当 事 件 ID 出 现 为 329 一 534， 则 表明 用 户 登 录 失 败 ; 如 果 是 猜测 用 户 名 和 密码 ， 那 在 
日 志 中 会 出 现 529 和 534， 也 可 能 是 用 户 忘记 了 密码 也 会 出 现 此 ID 号 。 如 529 事件 后 是 
528 事件 则 表明 用 户 的 计算 机 可 能 已 经 遭 到 了 密码 攻击 。 当 事件 ID 为 530 一 533 说 明 用 户 
名 和 密码 正确 ， 但 没有 登录 成 功 。 


2. 账户 登录 事件 


在 一 个 用 户 登录 到 域 时 ， 是 在 域 控制 器 上 对 登录 进行 处 理 的 。 如 果 审 计 域 控 制 器 上 的 
账户 登录 事件 ， 那 么 就 会 看 到 在 对 账户 进行 验证 的 域 控制 器 上 记录 的 此 登录 尝试 。 账 户 登 
录 事 件 是 在 身份 验证 程序 包 对 用 户 的 凭据 进行 验证 时 创建 的 。 在 使 用 域 凭据 的 情况 下 ， 账 
户 登录 事件 只 在 域 控制 器 的 事件 日 志 中 生成 。 如 果 出 示 的 凭据 是 本 地 SAM 数据 库 凭据 ， 
那么 就 会 在 服务 器 的 安全 事件 日 志 中 创建 账户 登录 事件 。 

由 于 账户 登录 事件 可 以 记录 在 域 中 的 任何 有 效 的 域 控制 器 上 ， 因 此 必须 确保 将 各 个 域 
控制 器 上 的 安全 日 志 合并 ， 以 分 析 域 中 的 所 有 账户 登录 事件 。 

与 登录 事件 一 样 ， 账 户 登录 事件 也 包括 计算 机 登录 事件 和 用 户 登 录 事件 两 种 。 

1) 账户 登录 事件 ID 

作为 成 员 服务 器 和 域 控制 器 基本 策略 的 组 成 部 分 ， 对 成 功 和 失败 账户 登录 事件 的 审计 
已 启用 。 因 此 对 于 网 络 登录 和 终端 服务 身份 验证 ， 出 现在 事件 日 志 中 的 账户 登录 事件 ID 
说 明 如 下 : 

。 672 成 功 地 发 出 并 验证 了 身份 验证 服务 (AS) 票证 。 

。 673 ”授予 了 票证 授予 服务 (TGS ) 票证 。 

674 ”安全 主体 更 新 了 AS 票证 或 TGS 票证 。 

675 ”预先 身份 验证 失败 。 

676 “身份 验证 票证 请 求 失败 。 

677 ”未 授予 TGS 票证 。 

。 678 ”账户 已 成 功 地 映射 到 域 账户 。 

。 680 ”识别 用 于 成 功 的 登录 尝试 的 账户 。 此 事件 还 表明 使 用 身份 验证 程序 包 对 账户 
进行 了 身份 验证 。 

。 681 有 人 进行 了 域 账户 登录 尝试 。 

682 ”一 个 用 户 重 新 连接 到 已 断 开 连 接 的 “终端 服务 ”会 话 。 
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。 683 ”一 个 用 户 没 有 注销 就 断 开 了 “终端 服务 ”会 话 连接 。 

2) 使 用 账户 登录 事件 ID 诊断 安全 事件 

对 于 这 些 事件 中 的 每 个 事件 ， 事 件 日 志 显 示 了 有 关 每 个 特定 的 登录 的 详细 信息 。 可 以 

使 用 账户 登录 事件 项 诊断 下 面 的 安全 事件 : 

。 域 登录 尝试 失败 ”事件 ID 675 和 677 表明 试图 登录 到 域 的 失败 尝试 。 

。 时 间 同 步 问 题 “如 果 客 户 计算 机 的 时 间 与 进行 身份 验证 的 域 控制 器 的 时 间 相 差 5 分 
钟 〈 默 认 情况 下 ) 以上， 那么 在 安全 日 志 中 就 会 记录 事件 ID 675。 

。 终端 服务 攻击 ”可 以 使 “终端 服务 ”会 话 保持 连接 状态 ， 以 允许 进程 在 会 话 结束 之 
后 继续 运行 。 事 件 ID 683 表明 用 户 没 有 从 “终端 服务 ”会 话 注销 ， 而 事件 ID 682 
表明 有 人 连接 到 了 先前 断 开 连 接 的 会 话 。 若 要 防止 断 开 连 接 或 者 终止 这 些 已 断 开 连 
接 的 会 话 ， 请 在 “终端 服务 配置 ”控制 台中 RDP-TCP 协议 的 属性 对 话 框 中 定义 结 
束 已 断 开 的 会 话 的 时 间 间 隔 。 


3. 账户 管理 


账户 管理 审计 用 于 确定 用 户 或 组 是 在 何 时 创建 、 更 改 或 删除 的 。 此 审计 可 用 于 确定 何 
时 创建 了 安全 主体 ， 以 及 什么 人 执行 了 该 任务 。 
1) 账户 管理 事件 ID 
作为 成 员 服 务 器 和 域 控制 器 基本 策略 的 组 成 部 分 ， 账 户 管理 中 的 对 成 功 和 失败 的 审计 
已 启用 。 出 现在 事件 日 志 中 的 账户 管理 事件 ID 说 明 如 下 : 
。 624 ”创建 了 用 户 账户 。 
。 625 ”更 改 了 用 户 账户 类 型 。 
。 626 ”启用 了 用 户 账户 。 
。 627 ”尝试 了 密码 更 改 。 
。 628 ”设置 了 用 户 账户 密码 。 
。 629 ”禁用 了 用 户 账户 。 
。 630 ”删除 了 用 户 账户 。 
631 创建 了 启用 安全 的 全 局 组 。 
632 ”添加 了 启用 安全 的 全 局 组 成 员 。 
633 ”删除 了 启用 安全 的 全 局 组 成 员 。 
634 ”删除 了 启用 安全 的 全 局 组 。 
635 ”创建 了 禁用 安全 的 本 地 组 。 
636 添加 了 启用 安全 的 本 地 组 成 员 。 
637 ”删除 了 启用 安全 的 本 地 组 成 员 。 
638 ”删除 了 启用 安全 的 本 地 组 。 
639 ”更 改 了 启用 安全 的 本 地 组 。 
641 ”更改 了 启用 安全 的 全 局 组 。 
642 更改 了 用 户 账户 。 
643 ”更 改 了 域 策略 。 
644 ”用 户 账户 被 锁定 。 
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2) 使 用 账户 管理 事件 ID 诊断 安全 事件 

可 以 使 用 安全 日 志 项 的 ID 诊断 下 面 的 账户 管理 事件 。 

。 创建 用 户 账户 ”事件 ID 624 和 626 识别 是 何 时 创建 和 启用 用 户 账户 的 。 如 果 仅 限于 
为 本 单位 中 的 特定 个 人 创建 账户 ， 那 么 可 以 使 用 这 些 事件 识别 是 否 有 未 经 授权 的 人 
员 创建 了 用 户 账户 。 

更 改 了 用 户 账户 密码 ”用 户 本 人 之 外 的 其 他 人 对 密码 进行 修改 ， 可 表明 一 个 账户 已 
经 被 另 一 个 用 户 掌握 。 应 查找 表明 进行 了 密码 更 改 尝试 并 获得 成 功 的 事件 ID 627 
和 628。 查 看 详细 信息 以 确定 是 否 由 另 一 个 账户 进行 了 该 更 改 ， 以 及 该 账户 是 否 为 
可 以 重 署 用 户 账户 密码 的 服务 台 或 其 他 服务 组 的 成 员 。 

更 改 了 用 户 账 户 状态 “一 个 攻击 者 可 能 试图 通过 禁用 或 删除 在 发 动 攻击 时 使 用 的 
账户 来 掩盖 他 的 踪迹 。 应 该 对 所 有 的 事件 ID 629 和 630 进行 调查 以 确保 这 些 事件 是 
经 授权 的 事务 。 还 要 查找 事件 ID 626 后 面 较 短 的 时 间 内 接着 发 生 事件 ID 629 的 情 
况 。 这 种 情况 可 表明 有 人 启用 并 使 用 了 被 禁用 的 账户 然后 又 将 该 账户 禁用 。 

对 安全 组 的 修改 ”应 该 检查 对 下 列 组 的 成 员 身份 进行 的 更 改 : 域 管理 员 组 、 管 理 员 
组 、 任 一 操作 员 组 ; 自 定义 全 局 组 、 通 用 组 或 受到 委派 承担 管理 功能 的 域 本 地 组 。 

对 全 局 组 成 员 身份 的 修改 , 请 查找 事件 ID 632 和 633。 对 域 本 地 组 成 员 身份 的 修改 ， 
请 查找 事件 ID 636 和 637。 

账户 锁定 ”在 账户 被 锁定 后 , 将 会 在 PDC 模拟 器 操作 主机 上 记录 两 个 事件 。644 事 
件 表明 账户 名 被 锁定 ， 然 后 将 记录 一 个 642 事件 ， 该 事件 表明 用 户 账户 被 更 改 以 指 
示 该 账户 现在 已 被 锁定 。 此 事件 只 在 PDC 模拟 器 上 记录 。 


4. 对 象 访问 


可 以 用 系统 访问 控制 列表 (SACL) 对 基于 Windows 2000 的 网 络 中 的 所 有 对 象 启用 审 
计 。SACL 包含 一 个 将 要 审计 其 对 对 象 进行 的 操作 的 用 户 和 组 的 列表 。 在 Windows 2000 中 
用 户 可 以 操作 的 任何 对 象 几乎 都 有 一 个 SACL， 这 些 对 象 包 括 NTFS 驱动 器 上 的 文件 和 文 
件 夹 ， 打 印 机 和 注册 表 项 。 

1) 对 象 访问 控制 项 ACE 

SACL 由 访问 控制 项 (ACE) 组 成 。 每 个 ACE 都 包含 三 部 分 信息 : 

。 要 对 其 进行 审计 的 安全 主体 。 

。 要 审计 的 特定 访问 类 型 ， 称 为 “访问 掩 码 ”。 

。 指示 要 审计 失败 访问 、 成 功 访问 还 是 两 种 访问 都 审计 的 一 个 标志 。 

如 果 希 望 让 事件 出 现在 安全 日 志 中 ， 则 必须 首先 启用 审计 对 象 访问 ， 然 后 对 每 个 需要 
对 其 进行 审计 的 对 象 定义 SACL 。 

2) 审计 对 象 访问 事件 ID 

审计 对 象 访问 出 现在 事件 日 志 中 ID 说 明 如 下 : 

。 560 授予 了 对 现 有 的 对 象 的 访问 权 。 

。 562 ”关闭 了 一 个 对 象 的 句柄 。 

。 563 ”进行 了 一 次 打开 一 个 对 象 以 便 将 它 删除 的 尝试 (这 在 指定 了 FILE_DELETE_ 

ON_CLOSE 标志 的 情况 下 供 文件 系统 使 用 ) 。 
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。 564 删除 了 一 个 受 保护 的 对 象 。 
。 565 授予 了 对 现 有 的 对 象 类 型 的 访问 权 。 


5. 目录 服务 访问 


Active Directory 对 象 具 有 与 它们 关联 的 SACL， 因 此 也 可 以 对 它们 进行 审计 。 通 过 审 
计 账 户 管理 来 审计 Active Directory 用 户 账 户 和 组 账户 。 要 审计 对 其 他 名 称 上 下 文中 的 对 象 
的 修改 ， 则 必须 审计 对 象 访问 ， 可 以 使 用 ADSIEDIT MMC 管理 单元 来 修改 配置 名 称 上 下 
文 的 容器 和 对 象 的 SACL。 完 成 这 项 工作 的 步骤 是 : 在 ADSIEDIT 控制 台中 显示 所 需 的 上 
下 文 ， 然 后 在 高 级 安全 设置 对 话 框 中 修改 对 象 的 SACL。 
于 会 激发 大 量 的 事件 ， 很 难 找到 目录 服务 访问 的 特定 事件 ， 因 此 ， 对 于 目录 服务 访 
问 ， 成 员 服务 器 和 域 控制 器 基本 策略 只 审计 失败 的 事件 。 这 将 有 助 于 识别 一 个 攻击 者 试图 
对 Active Directory 进行 未 经 授权 的 访问 。 

尝试 的 目录 访问 将 在 安全 日 志 中 显示 ID 为 565 的 目录 服务 事件 。 只 有 通过 查看 安全 
事件 的 详细 信息 才能 确定 该 事件 对 应 于 哪 一 个 对 象 。 


6. 特权 使 用 


只 要 用 户 在 网 络 中 ， 就 会 行使 所 规定 的 用 户 权 限 。 如 果 审 计 “ 特 权 使 用 ”的 成 功 和 失 

那么 每 次 一 个 用 户 尝试 行使 用 户 权限 时 都 会 生成 一 个 事件 。 

审计 特权 使 用 时 并 非 对 所 有 用 户 权 限 进行 审计 ， 下 列 用 户 权限 不 在 其 内 : 

。 绕 过 遍历 检查 。 

。 调试 程序 。 

创建 令 牌 对 象 。 

替换 进程 级 别 的 令 牌 。 

生成 安全 审计 。 

备份 文件 和 目录 。 

。 还 原文 件 和 目录 。 

1) 特权 使 用 事件 ID 

启用 了 对 特权 使 用 的 审计 出 现在 事件 日 志 中 的 特权 使 用 事件 ID 如 下 : 

。 576 向 用 户 的 访问 令 牌 中 添加 了 指定 的 特权 〈 在 用 户 登 录 时 生成 此 事件 ) 。 

。 577 用 户 试图 执行 一 个 特权 系统 服务 操作 。 

。 578 有 人 在 受 保护 对 象 的 已 打开 句柄 上 使 用 了 特权 。 

2) 通过 特权 使 用 事件 ID 诊断 安全 事件 

通过 审计 特定 的 用 户 权 限 的 ID， 可 以 诊断 下 面 的 事件 : 

。 充当 操作 系统 的 一 部 分 “应 查找 指示 了 SeTcbPrivilege 特权 的 事件 ID 577 或 578。 
在 事件 详细 信息 中 标 出 了 使 用 该 用 户 权限 的 用 户 账户 。 此 事件 可 以 表明 有 一 个 用 户 
通过 充当 操作 系统 的 一 部 分 来 试图 提升 安全 特权 。 例 如 ， 一 个 用 户 试图 将 其 账户 添 
加 到 管理 员 组 的 GetAdmin 攻击 就 使 用 了 此 特权 。 此 事件 的 日 志 项 只 能 属于 系统 账 
户 以 及 授予 了 这 一 用 户 权 限 的 任何 服务 账户 。 

。 更 改 系统 时 间 ”应 查找 指示 了 SeSystemtimePrivilege 特权 的 事件 ID 577 或 578。 在 
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事件 详细 信息 中 标 出 了 使 用 该 用 户 权限 的 用 户 账户 。 此 事件 可 以 表明 有 一 个 用 户 尝 
试 更 改 系 统 时 间 以 隐藏 事件 发 生 的 真实 时 间 。 

。 从 远程 系统 强制 关闭 ”应 查找 带 有 用 户 权限 SeRemoteShutdownPrivilege 的 事件 
ID 577 和 578。 在 事件 详细 信息 中 会 包括 给 其 授予 该 用 户 权限 的 特定 安全 标识 符 
(SID) 和 授予 了 该 权限 的 安全 主体 的 用 户 名 。 

。 加 载 和 务 载 设备 驱动 程序 “应 查找 指示 了 SeLoadDriverPrivilege 特权 的 事件 ID 577 
或 578。 在 事件 详细 信息 中 标 出 了 使 用 该 用 户 权限 的 用 户 账 户 。 此 事件 可 表明 有 一 
个 用 户 试图 加 载 一 个 设备 驱动 程序 的 未 经 授权 的 版 本 或 特洛伊 木马 版 本 。 

。 管理 审计 和 安全 日 志 ”应 查找 指出 了 SeSecurityPrivilege 特权 的 事件 ID 577 或 578。 
在 事件 详细 信息 中 标 出 了 使 用 该 用 户 权 限 的 用 户 账户 。 在 清除 事件 日 志 以 及 向 安全 
日 志 写 入 有 关 特 权 使 用 的 事件 时 都 会 发 生 此 事件 。 

。 关闭 系统 ”应 查找 指出 了 SeShutdownPrivilege 特权 的 事件 ID 577 在 事件 详细 信息 

中 标 出 了 使 用 该 用 户 权限 的 用 户 账户 。 在 有 人 尝试 关闭 计算 机 时 会 发 生 此 事件 。 

取得 文件 等 的 所 有 权 ”应 查找 指出 了 SeTakeOwnershipPrivilege 特权 的 事件 ID 577 

或 578。 在 事件 详细 信息 中 标 出 了 使 用 该 用 户 权 限 的 用 户 账户 。 此 事件 可 表明 有 一 

个 攻击 者 正在 通过 取得 一 个 对 象 的 所 有 权 来 尝试 绕 过 当前 的 安全 设置 。 


7. 进程 跟踪 


如 果 审 计 在 基于 Windows 2000 的 计算 机 上 运行 的 进程 的 详细 跟踪 信息 ， 那 么 事件 日 
志 将 显示 创建 进程 和 结束 进程 的 尝试 。 事 件 日 志 还 会 记录 一 个 进程 尝试 生成 一 个 对 象 的 句 
酉 或 尝试 获取 对 一 个 对 象 的 间接 访问 权 的 时 间 。 

由 于 会 产生 大 量 的 审计 项 ， 因 此 成 员 服 务 器 和 域 控 制 器 基本 策略 不 启用 对 进程 跟踪 的 
审计 。 选 择 审计 成 功 和 失败 的 进程 跟踪 ， 将 会 在 事件 日 志 中 记录 下 面 的 事件 ID: 

。 592 ”创建 了 一 个 新 进程 。 

。 593 ”一 个 进程 已 退出 。 

。 594 复制 了 一 个 对 象 的 句柄 。 

。 595 ”获得 了 对 一 个 对 象 的 间接 访问 权 。 


8. 系统 事件 


在 一 个 用 户 或 进程 改变 计算 机 环境 的 某 些 方面 时 会 生成 系统 事件 。 可 以 审计 对 系统 进 
行 更 改 的 尝试 ， 如 关闭 计算 机 或 更 改 系统 时 间 。 

审计 系统 事件 ， 则 也 要 审计 清除 安全 日 志 的 时 间 。 这 是 很 重要 的 ， 因 为 攻击 者 往往 试 
图 在 对 环境 进行 更 改 之 后 清除 他 们 的 踪迹 。 

1) 系统 事件 ID 

成 员 服务 器 和 域 控制 器 基本 策略 对 成 功 和 失败 的 系统 事件 进行 审计 。 

出 现在 事件 日 志 中 的 系统 事件 ID 如 下 。 

。512 ”Windows 正在 启动 。 

。 513 ”Windows 正在 关闭 。 

。 514 本 地 安全 机 构 加 载 了 一 个 身份 验证 程序 包 。 
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。 515 ”一 个 受信 任 的 登录 进程 已 向 本 地 安全 机 构 注册 。 
。 516 为 了 对 安全 事件 消息 进行 排队 而 分 配 的 内 部 资源 已 经 用 尽 ， 导 致 一 些 安全 事 
件 消息 丢失 。 

。 517 ”安全 日 志 被 清除 。 

。 518 ”安全 账户 管理 器 加 载 了 一 个 通知 程序 包 。 

2) 通过 事件 ID 捕获 安全 方面 的 信息 

。 计算 机 关闭 /重新 启动 

事件 ID 513 表明 Windows 正在 关闭 。 知 道 关 闭 或 重新 启动 服务 器 的 时 间 是 很 重要 的 。 
有 许多 合法 的 原因 ， 例 如 安装 驱动 程序 或 应 用 程序 时 需要 重新 启动 ， 或 者 在 进行 维护 时 关 
闭 或 重新 启动 服务 器 。 不 过 ， 攻 击 者 也 可 能 强制 服务 器 重新 启动 以 便 在 启动 过 程 中 获取 对 
系统 的 访问 权 。 应 该 将 所 有 的 关闭 计算 机 的 情况 都 记录 下 来 ， 以 便 与 事件 日 志 进 行 比较 。 

许多 攻击 都 涉及 计算 机 的 重新 启动 。 通 过 研究 事件 日 志 ， 你 可 以 确定 服务 器 重新 启动 
的 时 间 ， 以 及 该 重新 启动 是 计划 中 的 重新 启动 还 是 未 计划 的 重新 启动 。 事 件 ID 512 表明 
Windows 正在 启动 ， 在 系统 日 志 中 自动 生成 的 一 系列 其 他 事件 也 表明 Windows 正在 启动 。 
这 些 事件 中 包括 事件 ID 6005， 该 事件 表明 启动 了 事件 日 志 服 务 。 

除了 这 一 日 志 项 外 ， 还 应 查找 在 系统 日 志 中 是 否 存在 另外 两 个 不 同 的 事件 日 志 项 之 
一 。 如 果 前 一 次 关机 是 完全 的 ， 例 如 在 管理 员 重新 启动 计算 机 时 ， 那 么 在 系统 日 志 中 会 记 
录 事件 ID 6006〈 事 件 日 志 服务 已 停止 )。 通 过 检查 该 日 志 项 的 详细 信息 ， 可 以 确定 是 哪 一 
个 用 户 进行 了 该 关机 操作 。 

如 果 重 新 启动 是 由 意外 的 重新 启动 造成 的 ， 那 么 事件 ID 6008 (发 生 在 < 日 期 >< 时 间 > 
的 前 一 次 系统 关闭 ) 是 意外 的 。 这 也 可 表明 有 一 个 导致 计算 机 关闭 的 拒绝 服务 攻击 。 但 是 
请 记 住 ， 也 有 可 能 是 由 电源 故障 或 者 设备 驱动 程序 故障 造成 的 。 

如 果 重 新 启动 是 由 蓝屏 造成 的 ， 那 么 在 系统 日 志 中 就 会 记录 一 个 具有 “保存 转 储 ” 源 
的 事件 ID 1001。 可 以 在 事件 详细 信息 中 检查 实际 的 蓝屏 错误 消息 。 


注意 : 若 要 包括 事件 ID 1001 项 的 记录 ， 人 必须 在 “系统 控制 面板 ”小 程序 的 恢复 设置 
部 分 启用 将 事件 写 入 系统 日 志 复 选 框 的 选项 。 


。 修改 或 清除 安全 日 志 

攻击 者 可 能 试图 修改 安全 日 志 ， 或 者 在 实施 攻击 过 程 中 禁用 审计 功能 ， 或 者 清除 安全 
日 志 以 防止 被 检测 到 。 如 果 发 现 安全 日 志 中 很 多 时 间 段 内 没有 日 志 项 , 则 应 查找 事件 ID 612 
和 517 以 确定 哪个 用 户 修改 了 审计 策略 , 应 该 将 所 有 的 事件 ID 517 与 表明 清除 安全 日 志 的 
所 有 时 间 的 物理 日 志 进行 比较 。 一 次 未 经 授权 的 安全 日 志清 除 ， 可 能 是 一 次 隐藏 以 前 的 安 
全 日 志 中 存在 的 事件 的 企图 (可 能 是 一 次 隐藏 的 攻击 )。 在 事件 详细 信息 中 包括 了 清除 该 日 
志 的 用 户 的 名 称 。 


9. 策略 更 改 


审计 策略 应 定义 将 审计 对 网 络 中 的 修改 ， 它 有 助 于 确定 是 否 有 攻击 你 的 网 络 的 企图 。 
攻击 者 会 设法 修改 审计 策略 本 身 ， 以 使 他 们 进行 的 任何 更 改 不 会 被 审计 到 。 
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1) 策略 更 改 事件 ID 

如 果 网 络 中 的 审计 策略 更 改 ， 你 会 发 现 修改 审计 策略 以 及 对 其 他 策略 和 用 户 权限 的 更 
改 。 成 员 服务 器 和 域 控制 器 基本 策略 对 成 功 和 失败 的 审计 策略 更 改进 行 审计 。 出 现在 事件 
日 志 中 的 策略 更 改 事件 ID 如 下 : 


608 授予 了 用 户 权 限 。 

609 ”删除 了 用 户 权限 。 

610 与 男 一 个 域 建立 了 信任 关系 。 

611 删除 了 与 另 一 个 域 的 信任 关系 。 

612 更改 了 审计 策略 。 

768 在 一 个 目录 林 《〈 比 目录 树 更 大 的 域 ) 中 的 命名 空间 元 素 和 另 一 个 目录 林 中 的 
命名 空间 元 素 之 间 检 测 到 了 冲突 (在 一 个 目录 林 中 的 命名 空间 元 素 与 男 一 个 
目录 林 中 的 命名 空间 元 素 重 登 时 发 生 ) 。 


2) 使 用 策略 更 改 事件 人 D 检测 事件 
通过 上 述 的 ID 能 检测 发 生 的 如 下 事件 : 


充当 操作 系统 的 一 部 分 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权限 SeTcbPrivilege 的 
事件 ID 608 和 609。 

将 工作 站 添加 到 域 。 在 事件 详细 信息 中 查找 带 有 用 户 权限 SeMachine Account 
Privilege 的 事件 。 

备份 文件 和 目录 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权 限 SeBackup Privilege 的 
事件 。 

绕 过 遍历 检查 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权限 SeChange Notify Privilege 
的 事件 。 此 用 户 权 限 允 许 用 户 即 使 在 没有 访问 目录 树 的 其 他 权限 的 情况 下 遍历 该 目 
录 树 。 

更 改 系 统 时 间 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权限 SeSystem time Privilege 的 事 
件 。 此 用 户 权 限 允 许 一 个 安全 主体 更 改 系 统 时 间 ， 潜 在 地 掩盖 事件 发 生 的 时 间 。 
创建 永久 共享 对 象 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权 限 SeCreate Permanent 
Privilege 的 事件 。 此 用 户 权限 的 拥有 者 可 以 创建 文件 和 打印 共享 。 

调试 程序 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权限 SeDebug Privilege 的 事件 。 此 用 
户 权 限 的 拥有 者 可 以 附加 到 任何 进程 ， 默认 情况 下 ， 只 将 此 权限 授予 管理 员 。 

从 远程 系统 强制 关闭 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权限 SeRemote Shutdown 
Privilege 的 事件 。 

增加 调度 优先 级 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权限 SeIncrease Base Priority 
Privilege 的 事件 。 上 共有 此 权限 的 用 户 可 以 修改 进程 优先 级 。 

加 载 卸 载 设 备 驱 动 程序 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权限 SeLoad Driver 
Privilege 的 事件 .具有 此 用 户 权 限 的 用 户 可 以 加 载 设 备 驱 动 程序 的 特洛伊 木马 版 本 。 
管理 审计 和 安全 日 志 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权 限 SeSecurity Privilege 
的 事件 。 具 有 此 用 户 权 限 的 用 户 可 以 查看 和 清除 安全 日 志 。 

替换 进程 级 别 的 令 牌 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权限 SeAssign Primary 
Token Privilege 的 事件 。 具 有 此 用 户 权 限 的 用 户 可 以 更 改 与 已 启动 的 子 进程 关联 的 
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默认 令 牌 。 

。 还 原文 件 和 目录 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权 限 SeRestore Privilege 的 
事件 。 

。 关闭 系统 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权限 SeShutdown Privilege 的 事件 。 
具有 此 用 户 权 限 的 用 户 可 以 关闭 系统 ， 以 初始 化 新 设备 驱动 程序 的 安装 。 

。 取得 文件 等 的 所 有 权 。 应 在 事件 详细 信息 中 查找 带 有 用 户 权限 SeTake Ownership 
Privilege 的 事件 。 具 有 此 用 户 权 限 的 用 户 可 以 通过 取得 对 象 或 文件 的 所 有 权 来 访问 
NTFS 磁盘 上 的 任何 对 象 或 文件 


10. 第 三 方 应 用 程序 


有 多 个 第 三 方 应 用 程序 可 实现 本 地 日 志 记录 功 能 ， 以 提供 有 关 该 应 用 程序 的 详细 信 
息 。 维 护 日 志文 件 的 所 有 计算 机 都 应 使 用 同步 时 钟 ， 这 样 可 以 使 管理 员 比 较 计 算 机 之 间 以 
及 与 服务 之 间 的 事件 ， 以 确定 哪些 操作 是 由 攻击 者 进行 的 。 

许多 针对 计算 机 的 攻击 都 是 这 样 实现 的 : 攻击 安装 在 目标 计算 机 上 的 服务 ， 或 者 将 有 
效 的 驱动 程序 替换 为 包含 特洛伊 木马 的 驱动 程序 版 本 ， 以 给 予 攻击 者 访问 目标 计算 机 的 
权限 。 

下 面 的 工具 可 用 于 监视 已 安装 在 计算 机 上 的 服务 和 驱动 程序 。 

1) 服务 控制 台 

服务 MMC 控制 台 用 于 监视 本 地 计算 机 或 远程 计算 机 的 服务 ， 并 允许 管理 员 配置 、 暂 
停 、 停 止 、 启 动 和 重新 启动 所 有 已 安装 的 服务 。 可 使 用 此 控制 台 确定 是 否 存 在 已 配置 为 自 
动 启动 的 服务 当前 未 启动 的 情况 。 

2) Netsvc.exe 

此 命令 行 工 具 包 含 在 Windows 2000 Server Resource Kit (Windows 2000 Server 资源 
工具 包 ) 中 ， 它 使 管理 员 能 够 从 命令 行 远 程 启动 、 停 止 、 暂 停 、 继 续 服务 和 查询 服务 的 
状态 。 

3) SvcMon.exe 

此 工具 监视 本 地 和 远程 计算 机 上 服务 的 状态 变化 (启动 或 停止 )。 为 检测 这 些 变 化 ， 
Service Monitoring Tool 实现 一 种 轮 询 系 统 。 在 受 监 视 的 服务 停止 或 启动 时 ，Service 
Monitoring Tool 会 通过 电子 邮件 通知 你 。 你 必须 使 用 Service Monitor Configuration Tool 
(smconfig.exe) 来 配置 服务 器 、 轮 询 间隔 和 要 监视 的 服务 。 

4) Drivers.exe 

此 工具 可 显示 在 安装 有 该 工具 的 计算 机 上 安装 的 所 有 设备 驱动 程序 。 该 工具 的 输出 包 
括 驱 动 程序 的 文件 名 、 磁 盘 上 的 驱动 程序 的 大 小 以 及 链接 该 驱动 程序 的 日 期 等 信息 。 链 接 
日 期 可 用 于 识别 任何 新 安装 的 驱动 程序 。 如 果 更 新 后 的 驱动 程序 不 是 最 近 安 装 的 ， 则 可 以 
表明 它 是 被 替换 的 驱动 程序 。 应 始终 将 此 信息 与 “事件 查看 器 ”中 的 系统 重新 启动 事件 相 
关联 。 


3.5.2 “入侵 检测 


入 侵 检测 分 为 主动 检测 和 被 动 检测 ， 被 动 检测 就 是 被 攻击 后 使 用 检查 日 志 的 方法 ， 而 
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主动 检测 是 有 目标 地 查找 攻击 并 阻止 这 些 攻击 。 有 端口 扫描 、 事 件 查看 器 、 转 储 日 志 工具 、 
EventCombMT 工具 等 方法 ， 扫 描 端 口 是 最 常用 的 入 侵 检测 方法 之 一 。 


1. 扫描 端口 


Netstat.exe 是 一 种 命令 行 实 用 工具 , 可 以 显示 TCP 和 UDP 中 所 有 打开 的 端口 。Netstat 
命令 的 语法 格式 如 下 : 


Netstat [-a] [-e] [-n] [-s] [-p 协 议 ] [-r] [间隔 ] 


-a 显示 所 有 的 连接 和 监听 端口 。 

-e 显示 以 太 网 统计 信息 。 它 可 以 与 -s 选项 结合 使 用 。 

-以 数字 形式 显示 地 址 和 端口 号 。 

-p 协议 显示 由 指定 的 协议 的 连接 ， 可 以 是 TCP 或 UDP。 如 果 与 -s 选项 一 起 使 用 

以 显示 每 个 协议 的 统计 信息 ， 则 可 以 是 TCP、UDP 或 卫 。 

e。- 显示 路 由 表 。 

。 -s 显示 每 个 协议 的 统计 信息 。 默 认 情况 下 ， 将 显示 TCP、UDP 和 IP 的 统计 信息 ， 
可 以 使 用 -p 选项 以 指定 默认 值 的 子 集 。 

。 间隔 重新 显示 所 选择 的 统计 信息 , 在 每 次 显示 之 间 按 间隔 设置 的 秒 数 暂停 Ctrl+C 

组 合 键 可 停止 重新 显示 统计 信息 。 如 果 省 略 此 参数 ，Netstat 将 只 打印 一 次 当前 配置 

信息 。 


2. 通过 事件 查看 器 中 的 筛选 器 


1) 被 动 式 检测 方法 

被 动 式 侵入 检测 系统 涉及 对 事件 日 志和 应 用 程序 日 志 进 行 手动 检查 ， 检 查 涉 及 分 析 和 
检测 事件 日 志 数据 中 的 攻击 模式 。 有 多 种 工具 、 实 用 工具 和 应 用 程序 可 以 帮助 检查 事件 日 
志 。 本 节 概 述 了 如 何 使 用 每 一 种 工具 来 协调 信息 。 

2) 事件 查看 器 

Windows 2000 安全 日 志 可 以 使 用 事件 查看 器 MMC 控制 台 来 查看 。 事 件 查看 器 可 以 用 
来 查看 应 用 程序 日 志 、 安 全 日 志和 系统 日 志 ， 可 以 在 “事件 查看 器 ”中 定义 筛选 器 以 查找 
特定 的 事件 。 

3) 在 事件 查看 器 中 定义 筛选 器 

(1) 在 控制 台 树 中 选择 特定 的 事件 日 志 。 

(2) 从 视图 菜单 中 选择 筛选 器 。 

(3) 选择 用 于 筛选 的 参数 ， 在 “属性 ”对 话 框 的 “筛选 器 ”选项 卡 上 ， 可 以 定义 下 列 
属性 以 筛选 事件 项 。 

。 事件 类 型 。 可 以 将 该 筛选 器 限制 为 用 于 人 信息、 警告、 错误 、 成 功 审计 、 失 败 审计 这 

些 事件 类 型 或 其 任意 组 合 。 

。 事件 源 。 生 成 该 事件 的 特定 服务 或 驱动 程序 。 

。 类 别 。 可 以 将 该 筛选 器 限制 为 用 于 特定 的 事件 类 别 。 

。 事件 ID。 如 果 知 道 特定 事件 ID， 筛 选 器 可 以 将 列表 限制 为 该 特定 事件 ID。 
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用 户 。 可 以 将 事件 显示 限制 为 由 特定 用 户 生 成 的 事件 。 
计算 机 。 可 以 将 事件 显示 限制 为 由 特定 计算 机 生成 的 事件 。 
日 期 间隔 。 可 以 将 显示 限制 为 在 特定 的 开始 日 期 和 结束 日 期 之 间 发 生 的 事件 。 


在 应 用 该 筛选 器 之 后 ， 可 以 将 筛选 出 的 事件 列表 导出 到 逗号 分 隔 列表 或 制 表 符 分 隔 的 
列表 中 ， 以 便 导 入 到 数据 库 应 用 程序 中 。 


3. 


Dump Event Log Tool 〈 转 储 事件 日 志 工具 ) (dumpel.exe) 


Dump EventLog ( 转 储 事件 日 志 ) 是 一 种 命令 行 工具 ， 它 包含 在 Windows 2000 Server 
Resource Kit Supplement One (Windows 2000 Server 资源 工具 包 第 一 增补 版 ) 中 ， 它 可 将 本 
地 或 远程 系统 的 事件 日 志 转 储 到 一 个 制 表 符 分 隔 的 文本 文件 中 ， 然 后 将 此 文件 导入 到 电子 
表格 或 数据 库 中 以 便 进 行进 一 步 的 研究 。 该 工具 还 可 以 用 于 筛选 或 过 滤 某 些 事件 类 型 。 

dumpel.exe 工具 使 用 下 面 的 语法 : 

dumpel -f 文 件 名 [-s \\ 服 务 器 ] [-1 日 志 [-m 源 ]] [-e nl n2 n3...] [-r] [-t] [-ad x] 


各 参数 的 意义 如 下 。 


4. 


-f 文 件 名 。 指 定 输出 文件 的 文件 名 。-f 没有 默认 值 ， 因 此 必须 指定 文件 。 

-SN 服务器 。 指 定 要 为 其 转 储 事件 日 志 的 服务 器 。 服 务 器 名 的 前 导 反 斜 杠 是 可 选 的 。 
-! 日 志 。 指 定 要 转 储 哪 一 种 日 志 〈 系 统 日 志 、 应 用 程序 日 志 还 是 安全 日 志 ) 如 果 指 
定 了 无 效 日 志 名 ， 则 会 转 储 应 用 程序 日 志 。 

-m 源 。 指 定 在 哪个 源 中 如 重 定向 器 rtr、 串 口 等 ) 转 储 记 录 。 只 能 提供 一 个 源 。 
如 果 未 使 用 此 开关 ， 则 会 转 储 所 有 事件 。 如 果 使 用 了 未 在 注册 表 中 注册 的 源 ， 则 会 
在 应 用 程序 日 志 中 搜索 这 种 类 型 的 记录 。 

-e nln2。 事 件 ID nn 的 筛选 器 〈 最 多 可 以 指定 10 个 ) 如 果 未 使 用 r 开关 ， 则 只 转 
储 这 些 类 型 的 记录 ; 如 果 使 用 了 -r， 则 转 储 除 这 些 类 型 的 记录 以 外 的 所 有 记录 。 如 
果 未 使 用 此 开关 ， 则 会 选中 指定 的 源 名 称 中 的 所 有 事件 。 使 用 此 开关 时 必须 同时 使 
用 -m 开关 。 

<。 指定 是 要 筛选 特定 的 源 或 记录 还 是 将 它们 过 滤 掉 。 

-t。 指 定 各 个 字符 串 由 制 表 符 分 隔 。 如 未 使 用 -t， 则 字符 串 由 空格 分 隔 。 

-dx。 转 储 在 过 去 的 x 天 内 发 生 的 事件 。 


ISA Server 的 侵入 检测 功能 


ISA Server 包含 了 一 个 集成 的 侵入 检测 系统 ， 该 系统 可 以 判断 对 网 络 进行 攻击 的 企图 
并 以 一 组 预 配置 的 操作 或 警告 作出 响应 。 为 检测 出 有 害 的 侵入 ，ISA Server 将 网 络 通信 量 


和 日 志 


项 与 已 知 的 攻击 方法 进行 比较 。 若 有 可 疑 的 活动 则 触发 敬告， 这些 警告 会 使 ISA 


Server 执行 许多 操作 ， 可 能 的 操作 包括 : 运行 一 个 程序 、 发 送 一 封 电子 邮件 、 将 事件 记录 
在 Windows 事件 日 志 中 、 停 止 和 启动 ISA Server 服务 或 这 些 操作 的 组 合 。 

在 启用 了 侵入 检测 时 ， 可 以 对 下 面 的 攻击 配置 警告 。 

1) 所 有 端口 扫描 

攻击 者 在 判断 目标 计算 机 或 网 络 上 打开 的 端口 时 所 使 用 的 一 种 方法 。 侵 入 检测 引擎 将 
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检测 连接 到 多 个 端口 的 多 次 尝试 ， 并 在 连接 尝试 的 次 数 大 于 管理 员 配 置 的 阐 值 时 发 出 一 个 
警告 。 还 可 以 配置 ISA Server 以 便 只 在 已 知 的 端口 〈1 一 2048) 上 检测 端口 扫描 。 

2) IP 半 扫 描 

此 攻击 类 似 于 “所 有 端口 扫描 ”， 但 它 利用 了 TCP 通信 是 一 个 三 步骤 过 程 这 一 事实 。 
“IP 半 扫 描 ” 攻 击 不 发 送 第 三 个 数据 包 “TCP 三 向 握手 ”以 避免 被 检测 到 。 

3) 陆地 攻击 

将 向 计算 机 发 送 一 个 数据 包 , 它 带 有 欺骗 性 源 人 P 地 址 , 还 带 有 与 目标 地 址 和 端口 的 端 
口号 匹配 的 端口 号 。 欺 骗 性 数据 包 导 致 目标 计算 机 进入 一 个 循环 ， 最 终 导 致 计算 机 崩溃 。 

4) 死亡 之 Ping 

此 攻击 涉及 向 一 台 计算 机 发 送 大 量 异常 大 的 ICMP 回应 请 求 (Ping) 数据 包 。 目 标 计 
算 机 试图 响应 所 有 的 数据 包 ， 导 致 缓冲 区 溢出 ， 从 而 使 计算 机 崩溃 。 

5) UDP 炸弹 

以 某 些 字段 中 的 非法 值 构造 的 UDP 数据 包 将 导致 一 些 较 旧 的 操作 系统 在 收 到 该 数据 
包 时 骨 溃 。 如 果 目 标 计 算 机 贿 训 ， 则 常常 很 难 确定 崩溃 的 原因 。 

6) WinNuke 

这 是 一 种 可 用 于 将 Windows 网 络 禁用 的 拒绝 服务 攻击 ， 称 为 WinNuke。 一 个 得 退 的 攻 
击 可 以 导致 网 络 连接 的 中 断 或 脆弱 计算 机 的 崩溃 。 


注意 : 可 以 在 ISA Server 管理 控制 台 Internet Security and Acceleration Server\Servers 
and Arrays\< 服 务 器 名 >\Monitoring\Alerts 文件 来 中 查看 侵入 企图 警告 。 


3.6 修补 程序 


因为 一 个 操作 系统 是 由 许多 软件 人 员 共 同 编写 ， 虽 然 经 过 反复 测试 ， 但 在 发 布 之 后 仍 
然 会 有 漏洞 ， 及 时 修补 漏洞 就 址 要 修补 程序 ， 因 为 大 量 受 到 黑客 攻击 的 都 是 那些 没有 安装 
最 新 安全 修补 程序 的 系统 。 在 Windows 2000 中 ， 可 以 使 用 Microsoft 安全 工具 包 ， 在 安全 
工具 中 有 重要 的 安全 信息 最 新 的 Service Pack， 以 及 针对 Windows NT 4.0、Windows 2000、 
IIS 和 Internet Explorer 的 重要 安全 修补 程序 。 该 工具 直接 链接 到 Windows Update 站 点 ， 以 
确保 所 有 最 新 的 修补 程序 都 能 得 到 安装 。 在 TechNet 站 点 上 可 提供 该 安全 工具 包 。 

此 外 ， 有 一 个 修复 程序 检查 器 〈(Hfnetchk) 很 有 用 ， 它 是 一 个 命令 行 实用 工具 ， 检 查 
服务 器 上 是 否 具有 所 有 的 安全 修补 程序 , 并 可 以 在 微软 站 点 下 载 最 新 的 即时 修复 程序 列表 。 

命令 格式 

Hfnetchk - [开关 ] 

各 部 分 的 开关 如 下 : 

。 -about ”所 有 Hfnetchk 的 信息 。 

es。 主机 名 ”指定 要 扫描 的 NetBIOS 机 器 名 ， 默 认为 localhost。 


。 -fh 主机 文件 ”指定 要 扫描 的 NetBIOS 机 器 名 的 文件 的 名 称 。 
。 -iIP 地 址 ”指定 要 扫描 的 计算 机 的 他 地 址 。 
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-fip 卫 文件 名 指定 要 扫描 的 地 址 的 文件 名 称 。 

工 范围 指定 要 扫描 的 人 P 地 址 范围 。 

-d 域 名 指定 要 扫描 的 域名 。 

了 n 网 络 扫描 本 地 网 络 上 的 所 有 系统 。 

-history 级 别 ” 查 看 历史 ， 正 常 操作 不 需要 填写 。 

线程 数 ” 用 于 执行 扫描 的 线程 数量 ， 默 认 值 为 64。 

-0 输出 ”指定 所 需 的 输出 格式 。 

-x 数据 源 ”指定 包含 即时 修复 程序 信息 的 xml 数据 源 。 默 认 位 置 是 Microsoft Web 
站 点 的 mssecure.cab。 

-s 取消 标识 “取消 NOTE 和 WARNING 消息 。 则 值 1 代表 只 取消 NOTE 消息 ，2 
代表 取消 NOTE 和 WARNING 消息 。 默 认 值 是 显示 所 有 消息 。 

-Zz 不 要 执行 注册 表 检 查 。 

-nosum 不 要 计算 文件 校 验 和 。 校 验 和 测试 将 计算 文件 的 校 验 和 。 

-b 显示 满足 最 低 基本 安全 要 求 所 需 的 即时 修复 程序 的 状态 。 

-Vv 显示 有 关 Patch NOT Found、WARNING 和 NOTE 消息 的 详细 信息 。 

-输出 文件 名 ”指定 文件 的 名 称 以 保存 结果 ， 默 认 方式 是 显示 在 屏幕 上 。 

-u 用户 名 指定 用 于 登录 到 远程 计算 机 的 可 选用 户 名 。 

-p 密码 ”指定 与 用 户 名 一 起 使 用 的 密码 。 

-? 显示 帮助 菜单 。 


Windows Server 2003 的 
安全 管理 


网 络 操作 系统 的 安全 是 网 络 安全 的 核心 ， 提 高 网 络 安全 的 基点 应 该 是 从 操作 系统 的 安 
全 入 手 ，Windows 系列 服务 器 目前 的 最 新 版 本 为 Server 2003， 微 软 宣称 其 为 迄今 为 止 微软 
最 强大 的 Windows 服务 器 操作 系统 。 一 个 安全 的 网 络 操作 系统 的 安全 性 特征 是 贯穿 于 整个 
系统 之 中 的 ， 操 作 系 统 要 安全 就 必须 保证 文件 系统 、 用 户 账户 目录 、 用 户 确认 系统 、 存 储 
管理 、 交 换 和 环境 子 系统 等 的 安全 性 。Windows 的 安全 环境 就 是 将 保密 性 融入 每 一 个 组 件 
的 创建 过 程 中 ，Windows Server 2003 的 安全 设计 有 很 大 改进 ， 主 要 体现 在 网 络 身份 验证 、 
基于 对 象 的 授权 、 比 较 完整 的 安全 策略 及 数据 加 密 保护 等 ， 以 此 来 保证 服务 器 的 安全 。 


4.1 Windows Server 2003 安全 架构 


在 Windows Server 2003 中 内 置 了 信任 安全 架构 (Trusted Security Infrastructures, TSI)。 
下 面 介绍 一 下 TSI 架构 。TSI 安全 架构 提供 了 核心 的 安全 服务 ， 主 要 包括 : 

。 身份 验证 。 

。 授权 与 访问 控制 。 

。 审核 与 计 账 。 

。 密码 管理 。 

。 安全 管理 ， 包 括 鉴别 与 安全 策略 。 

从 安全 架构 的 观点 考虑 ， 信 任 安全 架构 引入 了 新 的 安全 层 ， 即 访问 层 。 它 是 由 Burton 
Group 组 提出 来 的 。Windows Server 2003 内 置 了 TSI 安全 架构 ， 加 强 了 访问 层 的 管理 。 访 
问 层 位 于 资源 层 和 外 围 层 之 间 , 资源 层 由 各 种 应 用 和 数据 组 成 。 外 围 层 包 括 一 些 安全 设备 ， 
包括 防火 墙 、 访 问 控制 路 由 器 、 入 侵 检 测 系统 和 虚拟 专用 网 的 终端 等 。 

TSI 安全 架构 如 图 4-1 所 示 。 

在 信任 的 架构 中 ， 信 任 主要 通过 网 络 操作 系统 的 4 项 安全 管理 来 完成 ， 首 先是 识别 
(identification)， 也 就 是 通常 所 说 的 访问 控制 ， 然 后 是 验证 Cauthentication)， 即 身份 验证 ， 
接着 是 授权 (authorization)， 最 后 是 审核 。 
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起 
应 用 应 用 1 ”应 用 2 应 用 n ”Web 服务 | Web 服 务 2 ”Web 服务 n 
关键 管理 架构 

信任 安全 架构 (TSD t 

身份 验证 安全 策 珊 。 安全 补丁 验证 架构 | 授权 架构 
审核 架构 
i 库 信息 管理 消 和 
核心 IT 架构 服务 。 DirA DirB 数据 库 。 信息 管 肖 息 


4.2 ”Windows Server 2003 的 新 安全 机 制 


Windows Server 2003 的 启动 速度 比 2000 快 ， 系 统 内 新 加 了 许多 好 用 的 DOS 新 功能 。 
另外 ， 除 具有 2000 的 安全 机 制 之 外 ， 在 Windows Server 2003 的 安全 环境 中 主要 进一步 加 
强 了 用 户 身份 验证 和 访问 控制 ， 即 内 置 了 TSI 架构。 在 企业 服务 版 本 中 ， 还 增加 了 如 下 的 
安全 功能 。 

。 授权 管理 器 : Windows Server 2003 中 的 授权 管理 器 是 基于 角色 安全 管理 的 改进 , 它 
可 以 定义 角色 及 角色 执行 的 任务 。 还 可 以 使 用 脚本 动态 修改 权限 。 
存储 用 户 名 和 密码 : Windows Server 2003 的 存储 用 户 名 和 密码 功能 允许 用 户 连 接 服 
务 器 时 使 用 的 用 户 名 和 密码 与 登录 网 络 时 使 用 的 用 户 名 和 密码 不 同 。 此 实用 工具 为 
用 户 名 和 访问 Internet 资源 时 所 需 的 凭据 提供 安全 存储 。 
软件 限制 策略 : 这 是 Windows Server 的 新 安全 策略 ， 防 止 软件 应 用 程序 基于 软件 的 
哈 希 算法 、 软 件 的 相关 文件 路 径 、 软 件 发 行者 的 证 书 或 寄宿 该 软件 的 Internet 区 域 
来 运行 。 

证 书 颁发 机 构 : 与 Windows 2000 相 比 ，Windows Server 2003 证 书 服务 提供 了 新 的 
PKI 功能 ， 旨 在 展示 证 书 模板 编辑 功能 及 为 用 户 和 计算 机 的 证 书 进 行 自动 注册 。 
受 限 委派 : Windows Server 通过 这 一 新 的 安全 功能 ， 可 指定 要 信任 的 服务 用 以 委派 
服务 器 。 

有 效 权限 工具 : 此 工具 将 计算 授予 指定 用 户 或 组 的 权限 。 

加 密 文件 系统 (EFS): 在 Windows Server 2003 中 不 再 需要 恢复 代理 。 

Everyone 成 员 身份 : 内置 Everyone 组 包括 Authenticated Users 和 Guests， 但 不 再 
包括 Anonymous 组 的 成 员 。 在 以 前 的 Windows 版 本 中 默认 权限 是 将 “完全 控制 ” 
授予 了 Everyone 组 ， 整 个 文件 系统 根本 没有 安全 性 可 言 ( 就 本 地 访问 来 说 )。 

基于 操作 的 审核 : 基于 操作 的 审核 提供 了 更 多 描述 性 的 审核 事件 ， 并 提供 用 户 选择 
在 审核 对 象 访问 时 要 审核 的 操作 。 

新 应 用 安全 默认 值 : 此 过 程 可 以 使 用 用 户 重新 应 用 Windows Server 2003 家 族 的 默 
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认 安全 设置 。 
4.3 Windows Server 2003 的 身份 验证 


身份 验证 是 系统 安全 的 一 个 基础 方面 。 所 有 的 网 络 操作 系统 中 的 应 用 程序 将 被 不 同 的 
用 户 进行 访问 〈 远 程 访问 或 本 地 访问 )， 操 作 系统 首先 必须 具有 验证 能 力 ， 才能 知道 这 个 用 
户 是 不 是 合法 的 用 户 。 操 作 系统 将 对 尝试 登录 到 域 或 访问 网 络 资源 的 任何 用 户 进行 身份 确 
认 。Windows Server 2003 身份 验证 的 重要 功能 就 是 它 启用 对 所 有 网 络 资源 的 单一 登录 。 单 
一 登录 允许 用 户 使 用 一 个 密码 或 智能 卡 一 次 登录 到 域 , 然 后 向 域 中 的 任何 计算 机 验证 身份 。 
在 身份 验证 方面 的 增强 涵盖 了 基于 本 地 系统 的 身份 验证 和 基于 活动 目录 域 的 身份 验证 。 在 
本 地 系统 验证 方面 ， 默 认 的 设置 限制 不 带 密码 的 本 地 账户 只 能 用 于 控制 台 。 这 就 是 说 ， 不 
带 密码 的 账户 将 不 能 再 用 于 远程 系统 的 访问 , 例如 驱动 器 映射 、 远 程 桌面 /远程 协助 连接 等 。 
活动 目录 验证 的 变化 在 跨越 林 的 信任 方面 特别 突出 。 跨 越 林 的 信任 功能 允许 在 林 的 根 域 之 
间 创 建 基于 Kerberos 的 信任 关系 。 在 Windows Server 2003 林 中 ， 管 理 员 可 创建 一 个 林 ， 
将 单个 林 范 围 外 的 双向 传递 性 扩展 到 另外 一 个 Windows Server 2003 林 中 。 在 Windows 
Server 2003 林 中 ， 这 种 跨越 将 两 个 断 开 连接 的 Windows Server 2003 林 链 接 起 来 建立 单 向 
或 双向 可 传递 信任 关系 。 双 向 林 信任 用 于 在 两 个 林 中 的 每 个 域 之 间 建 立 可 传递 的 信任 关系 。 

验证 一 般 有 以 下 四 种 。 

。 某 个 具体 内 容 : 如 用 户 名 /密码 等 。 

。 某 个 具体 的 设备 ， 如 ATM 卡 、 密 钥 等 ， 这 是 一 种 需要 对 某 个 唯一 设备 进行 物理 处 

理 以 确认 用 户 的 验证 机 制 。 
。 某 种 特征 : 如 指纹 、 视 网 膜 扫描 和 声音 检测 等 。 这 是 一 种 可 以 提供 很 高 安全 性 的 生 


物 验证 机 制 。 
。 某 个 位 置 如 网 络 适 配 卡 地 址 、 基 于 全 球 卫 星 定位 的 系统 等 。 可 以 提供 基于 用 户 位 
置 的 验证 信息 。 


操作 系统 的 验证 机 制 一 般 体现 在 如 下 几 个 方面 : 
。 支持 的 验证 方法 的 数量 。 

。 方 法 的 强度 。 

。 验证 信息 是 否 集成 到 所 有 安全 操作 中 。 

验证 的 示意 图 如 图 4-2 所 示 。 


登录 可 依 数据库 
用 户 usen 一 一 = | 验证 服务 器 | | [DIEW | 账户 和 信任 管理 
ID |PW| DIEW) 
BS 7 
交换 验证 全 位 
资源 服务 器 
ID|PW| 


图 4-2 
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4.3.1 交互 验证 与 网 络 验证 


在 Windows Server 2003 中 使 用 的 验证 架构 与 其 前 版 2000 和 NT 非常 相像 。 即 Windows 
在 访问 系统 资源 之 前 进行 身份 验证 。Windows 提供 了 使 用 触发 安全 性 的 组 合 键 (Ctrl 十 Alt 
十 Del) 建立 到 操作 系统 的 通信 ， 并 通过 操作 系统 进行 验证 。 这 种 信任 路 径 机 制 的 使 用 可 以 
防止 特洛伊 木马 程序 截获 一 个 经 过 适当 培训 的 用 户 的 初始 认证 信息 。 

默认 验证 机 制 是 用 户 名 和 密码 ，Windows 提供 了 设置 密码 有 效 期 限 、 长 度 、 历 史 和 使 
用 时 间 的 能 力 。Windows 还 针对 可 猜测 性 或 者 字典 攻击 提供 了 对 管理 员 密码 的 强度 的 密码 
过 滤器 。Windows 对 储存 在 注册 表 中 的 密码 信息 进行 了 加 密 。 这 样 的 手段 降低 了 对 密码 文 
件 的 基于 字典 的 猜测 式 攻 击 ， 无 论 该 文件 是 在 本 地 机 上 ， 还 是 攻击 者 把 该 文件 复制 到 其 他 
机 器 上 。 

Windows 除了 提供 用 户 名 、 密 码 验 证 外 ， 还 提供 了 标准 的 图 形 化 标识 和 验证 接口 
(Graphicallde Ntificationand Authe NTication，GINA)， 所 以 第 三 方 可 以 很 容易 地 把 附加 的 
验证 方法 集成 到 Windows 中 。 存 在 广泛 的 第 三 方 验证 机 制 ， 从 单 用 途 密码 到 智能 卡 ， 从 
生物 测定 学 方法 到 多 方 认证 。 

除了 GINA，Windows 还 提供 了 安全 服务 提供 者 接口 (Security Services Provider 
Interface) 和 加 密 应 用 程序 编程 接口 (Cryptographic Applications Programming Interface， 
CAPI)。 这 些 模块 提供 应 用 程序 访问 操作 系统 上 的 加 密 服务 的 标准 方法 ， 以 及 供应 商 为 操 
作 系 统 提供 附加 加 密 服 务 的 标准 方法 。 

Windows 把 验证 机 制 集 成 到 全 部 安全 操作 和 体系 中 .分 布 式 应 用 程序 使 用 Windows 验 
证 机 制 进行 客户 /服务 器 访问 。 这 些 验 证 机 制 使 用 挑战 /响应 协议 ， 这 个 协议 对 密码 进行 数 
学 转换 ， 密 码 决 不 会 以 明文 形式 传递 。 结 合 前 面 提 到 的 很 难 被 欺骗 的 信任 路 径 登 录 ， 经 过 
认真 选择 的 用 户 密码 是 非常 强大 的 。 

在 Windows Server 2003 中 , 不 同 之 处 只 是 增强 了 相关 的 安全 模块 。 交互 式 登录 身份 验 
证 需要 执行 两 个 部 分 ， 交互 式 登录 和 网 络 身份 验证 。 成 功 的 用 户 身份 验证 取决 于 这 两 个 过 
程 。 下 面 分 别 进行 介绍 。 

交互 式 登录 过 程 向 域 账户 或 本 地 计算 机 确认 用 户 的 身份 。 这 一 过 程 根据 用 户 账户 的 类 
型 而 不 同 。 如 果 使 用 域 账 户 ， 用 户 可 以 通过 存储 在 Active Directory 目录 服务 中 的 单一 登 
录 凭 据 使 用 密码 或 智能 卡 登录 到 网 络 。 如 果 使 用 域 账户 登录 ， 被 授权 的 用 户 可 以 访问 该 域 
及 任何 信任 域 中 的 资源 。 如 果 使 用 密码 登录 到 域 账户 ， 系 统 将 使 用 Kerberos V5 进行 身份 
验证 。 如 果 使 用 了 智能 卡 ， 则 需要 将 Kerberos V5 身份 验证 和 证 书 一 起 使 用 。 

使 用 本 地 计算 机 账户 ， 用 户 可 以 通过 存储 在 安全 账户 管理 器 (SAM) (也 就 是 本 地 安 
全 账户 数据 库 ) 中 的 凭据 登录 到 本 地 计算 机 。 任 何 工作 站 或 成 员 服 务 器 均 可 以 存储 本 地 用 
户 账户 ， 但 这 些 账户 只 能 用 于 访问 该 本 地 计算 机 。 

网 络 身份 验证 向 用 户 尝 试 访问 的 任何 网 络 服 务 确认 用 户 的 身份 证 明 。 为 了 提供 这 种 类 
型 的 身份 验证 ， 安 全 系统 支持 多 种 不 同 的 身份 验证 机 制 ， 包 括 Kerberos V5、 安 全 套 接 字 
层 /传输 层 安全 性 及 为 了 与 Windows NT 4.0 兼容 而 提供 的 NTLM。 

网 络 身份 验证 对 于 使 用 域 账户 的 用 户 来 说 不 可 见 。 使 用 本 地 计算 机 账户 的 用 户 每 次 访 
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问 网 络 资源 时 ， 必 须 提供 凭据 (如 用 户 名 和 密码 )。 通 过 使 用 域 账 户 ,用 户 就 具有 了 可 用 于 
单一 登录 的 凭据 。 


4.3.2 ”Kerberos V5 身份 验证 


Kerberos V5 是 与 密码 或 智能 卡 一 起 使 用 以 进行 交互 登录 的 协议 。 它 也 是 Windows 
Server 2003 对 服务 进行 网 络 身份 验证 的 默认 方法 。 在 古 希 腊 的 神话 中 ，Kerberos 是 有 三 个 
头 的 狗 ， 它 守卫 着 地 狱 的 大 门 。 这 里 使 用 Kerberos 就 说 明 这 是 一 个 很 好 的 身份 验证 协议 。 
在 Windows 2000 以 后 的 一 系列 服务 器 平台 都 包括 客户 端 Kerberos 验证 。2000 以 前 的 版 本 
是 不 包含 此 验证 协议 的 。Kerberos 的 三 个 头 在 协议 中 分 别 代表 验证 、 授 权 和 审核 。 但 
Kerberos 协议 不 仅仅 具有 三 个 头 ， 而 且 还 具备 一 些 扩展 的 功能 ， 如 密 钥 的 交换 等 。 基 本 
Kerberos 协议 的 第 5 版 读者 请 参考 RFC 1510。 在 协议 的 三 个 功能 中 ，Windows Server 2003 
中 实现 了 前 两 个 功能 ， 在 此 小 节 中 只 介绍 验证 。 所 以 在 Windows Server 2003 中 ，Kerberos 
协议 也 用 于 数据 包 验 证 、 提 供 保密 性 服务 等 。 

Kerberos V5 身份 验证 机 制 颁发 用 于 访问 网 络 服务 的 票证 。 这 些 票证 包含 加 密 的 数据 ， 
其 中 包括 加 密 的 密码 ， 用 于 向 请 求 的 服务 确定 用 户 的 身份 。 除 了 输入 密码 或 智能 卡 凭据 ， 
整个 身份 验证 过 程 对 用 户 都 是 不 可 见 的 。 

Kerberos V5 中 的 一 项 重要 服务 是 密 钥 发 行 中 心 (KDC)。KDC 作为 Active Directory 目 
录 服 务 的 一 部 分 ， 在 每 个 域 控制 器 上 运行 ， 它 存储 了 所 有 客户 端 密码 和 其 他 账户 信息 。 当 
两 个 实体 都 想 互相 验证 对 方 的 身份 ， 如 用 户 和 资源 服务 器 之 问 ， 这 就 需要 双方 都 信任 的 第 
三 方 ， 这 就 是 Kerberos 的 密 钥 发 行 中 心 所 完成 的 任务 。 

Kerberos 身份 验证 具有 许多 优点 。 

(1) 使 用 独特 的 票证 系统 并 能 提供 更 快 的 身份 验证 。 每 个 需要 访问 其 他 域 的 用 户 都 可 
以 从 本 地 Kerberos KDC 中 被 验证 。 资 源 服务 器 将 票证 作为 访问 资源 服务 器 的 依据 ， 票 记 
可 以 多 次 使 用 并 可 以 存储 在 客户 端 。 

(2) 是 交互 式 验证 。 

(3) 是 开放 的 标准 。 其 RFC1510 可 以 通过 网 址 http://www.ietf.org 下 载 。 

(4) 支持 委托 验证 。 

(5) 支持 智能 卡 网 络 登录 的 验证 。 

下 面 详 细 介绍 一 下 Kerberos 协议 。 

Kerberos 验证 是 基于 对 称 密 钥 加 密 ， 其 中 Kerberos KDC 提供 了 票证 的 认证 。Kerberos 
票证 提供 了 会 话 密 钥 的 安全 传输 ，Kerberos KDB 分 发 会 话 密 钥 给 需要 的 客户 端 。 

Kerberos V5 身份 验证 过 程 按 如 下 方式 工作 : 

(1) 客户 端 系统 上 的 用 户 使 用 密码 或 智能 卡 向 KDC 进行 身份 验证 。 

(2) KDC 为 此 客户 颁发 一 个 特别 的 票证 授予 式 票证 。 客 户 端 系统 使 用 TGT 访问 票 
证 授予 服务 (TGS)， 这 是 域 控制 器 上 的 Kerberos V5 身份 验证 机 制 的 一 部 分 。 

(3) TGS 接着 向 客户 颁发 服务 票证 。 

(4) 客户 向 请 求 的 网 络 服务 出 示 服 务 票 证 。 服 务 票证 向 此 服务 证 明 用 户 的 身份 ， 同 时 
也 向 该 用 户 证 明 服 务 的 身份 。 
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Kerberos V5 服务 安装 在 每 个 域 控制 器 上 ， 并 且 Kerberos 客户 端 安装 在 每 个 工作 站 和 
服务 器 上 。 每 个 域 控制 器 作为 KDC 使 用 。 客 户 端 使 用 域名 服务 (DNS) 定位 最 近 的 可 用 
域 控制 器 。 域 控制 器 在 用 户 登 录 会 话 中 作为 该 用 户 的 首选 KDC 运行 。 如 果 首选 KDC 不 可 
用 ， 系 统 将 定位 备用 的 KDC 来 提供 身份 验证 。 

对 于 在 安装 过 程 中 所 有 加 入 到 Windows Server 2003 或 Windows 2000 域 的 计算 机 都 
默认 启用 Kerberos V5 身份 验证 协议 。Kerberos 可 对 域内 的 资源 和 驻 留 在 受信 任 的 域 中 的 
资源 提供 单一 登录 。 可 通过 那些 作为 账户 策略 一 部 分 的 Kerberos 安全 设置 来 控制 
Kerberos 配置 的 某 些 方面 。 例 如 ， 可 设置 用 户 的 Kerberos 5 票证 生存 周期 。 作 为 管理 员 ， 
可 以 使 用 默认 的 Kerberos 策略 ， 也 可 以 更 改 它 以 适应 环境 的 需要 。 

使 用 Kerberos V5 进行 成 功 的 身份 验证 需要 两 个 客户 端 系统 都 必须 运行 Windows 
2000、Windows Server 2003 家 族 或 Windows XP Professional 操作 系统 。 

如 果 客 户 端 系统 尝试 向 运行 其 他 操作 系统 的 服务 器 进行 身份 验证 ， 则 使 用 NTLM 协 
议 作为 身份 验证 机 制 。 

下 面 介绍 Kerberos 身份 验证 相关 组 策略 的 配置 。 

Windows Server 2003 账户 策略 包括 相关 的 Kerberos 策略 。 

由 图 4-3 可 知 ， 有 5 项 Kerberos 策略 。 


i 组 策 略 篇 辑 器 
文件 EE) 操作 () 查看 QW 帮助 0) 
全 二 | 四 加 |X 台 | 加 


Default Donain Policy [84virxd9u26- a 
百 枚 计算 机 了 P 轩 

由 - 国 软件 设置 

日 - 国 findows 设置 


由 轧 全 安全 策略 ,在 hetiv 
由 园 管理 模板 


图 4-3 


。 服务 票证 最 长 寿命 : 在 微软 的 术语 中 ， 服 务 票 证 就 是 Kerberos 票证 ， 默 认 的 寿命 是 
10 个 小 时 。 

。 计算 机 时 钟 同 步 的 最 大 容 差 : 这 是 票证 时 间 淮 和 当前 KDC 时 间 的 最 大 时 间 差 。 
Kerberos 使 用 时 间 戳 针对 重 放 攻击 。 默 认 的 时 间 是 5 分 钟 。 

。 强制 用 户 登 录 限 制 : 这 个 策略 设置 是 当 票 证 请 求 提交 时 ， 强 制 KDC 来 验证 用 户 账 
户 的 有 效 性 。 如 果 用 户 没有 正确 的 登录 账户 或 者 其 账户 已 不 能 使 用 时 ， 用 户 就 不 能 
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获得 票证 。 这 个 策略 默认 是 启用 的 。 
。 用 户 票 证 续 订 最 长 寿命 : 默认 时 ， 票 证 在 发 行 后 7 天 仍 续 订 有 效 。 
。 用 户 票证 最 长 寿命 : 在 微软 的 术语 中 ， 用户 票 证 是 Kerberos TGT。 默 认 的 寿命 是 10 
个 小 时 。 
Kerberos 策略 只 能 在 域 的 基础 上 进行 设置 。 如 果 其 他 组 织 和 单元 需要 使 用 Kerberos 策 
略 , 可 以 为 域 中 的 其 他 站 点 ,组 织 单元 的 用 户 和 计算 机 配置 委托 验证 。 这 也 是 Windows 2003 
Server 新 具备 的 属性 。 


4.3.3 ”存储 用 户 名 和 密码 


首先 ， 在 Windows Server 2003 中 的 密码 发 生 了 改变 ， 使 用 了 强 密码 。 密 码 在 保证 网 络 
安全 中 扮演 着 非常 重要 的 角色 。 密 码 为 抵御 非法 访问 构筑 了 第 一 道 防线 。Windows 
Server 2003 可 以 在 操作 系统 启动 时 检查 Administrator 账户 密码 的 复杂 程度 。 如 果 密 码 为 
室 或 者 不 满足 复杂 性 要 求 ， 将 显示 Windows Installer 对 话 框 ， 警 告 Administrator 账户 不 
使 用 强 密码 可 能 存在 危险 。 如 果 继 续 使 用 空 密码 ， 用 户 将 无 法 通过 网 络 访问 该 账户 。 

在 Windows Server 2003 中 ， 强 密码 的 规则 是 : 

。 长度 至 少 有 七 个 字符 。 

。 不 包含 用 户 名 、 真 实 姓名 或 公司 名 称 。 

。 不 包含 完整 的 字典 词汇 。 

与 先前 的 密码 大 不 相同 。 递 增 密码 (Password1、Password2、Password3、…) 不 能 


算 作 强 密码 。 
。 包含 全 部 下 列 四 组 字符 类 型 。 
组 示例 
大 写字 母 A Bo Crt 
小 写字 母 a、b、c、… 
数字 0 
键盘 上 的 符号 (键盘 上 所 有 未 定义 为 “~!1@#$% Rt()_+-={}1[]\: 
字母 和 数字 的 字符 ) 人 


在 管理 Windows Server 2003 的 所 有 资源 时 , 均 要 使 用 不 同 的 强 密码 , 包括 远程 资源 账 
户 、 本 地 计算 机 账户 和 域 账户 。 这 样 先 从 密码 这 一 关 使 Windows Server 2003 的 安全 增强 。 
另外 , 在 Windows Server 2003 中 增加 了 存储 用 户 名 和 密码 的 实用 工具 , 它 将 用 户 登 录 的 用 
户 名 、 密 码 等 信息 存储 为 用 户 配 置 文件 的 一 部 分 。 这 就 意味 着 用 户 可 使 用 这 些 用 户 名 和 密 
码 遍 历 网 络 上 的 所 有 计算 机 。 

使 用 户 连接 服务 器 时 使 用 的 用 户 名 和 密码 与 登录 网 络 时 使 用 的 用 户 名 和 密码 可 以 不 
同 。 例 如 ， 管 理 员 可 能 使 用 标准 的 用 户 名 和 密码 登录 网 络 ， 但 需要 使 用 可 以 执行 特定 任务 
的 管理 访问 权限 连接 远程 服务 器 。 在 这 种 情况 下 ， 该 用 户 必须 提供 本 连接 所 需 的 男 一 个 用 
户 名 和 密码 。 该 用 户 也 可 能 需要 存储 该 用 户 名 和 密码 以 备 将 来 再 使 用 。 

当 Windows Server 2003 的 成 员 要 连接 到 网 络 上 的 新 计算 机 时 , 它 会 向 这 台 计 算 机 提供 
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当前 用 户 名 和 密码 。 如 果 所 提供 的 用 户 名 和 密码 不 足以 提供 访问 权限 ， 则 “存储 用 户 名 和 
密码 ”将 尝试 提供 必要 的 用 户 名 和 密码 。 所 有 储存 的 用 户 名 和 密码 都 将 接受 检查 ， 包 括 适 
合资 源 的 最 具体 到 最 不 具体 的 用 户 名 和 密码 ， 并 按 这 种 顺序 使 用 这 些 用户 名 和 密码 逐个 进 
行 连接 。 由 于 是 按照 从 最 具体 到 最 不 具体 的 顺序 读 取 和 应 用 用 户 名 和 密码 ， 所 以 为 每 个 单 
独 的 目标 或 域 所 存储 用 户 名 和 密码 不 会 超过 一 个 。 

“存储 用 户 名 和 密码 ”还 允许 用 户 保存 为 了 重新 使 用 而 提供 的 用 户 名 和 密码 。 该 信息 
存储 在 用 户 配置 文件 的 安全 部 分 且 不 能 由 其 他 用 户 访问 。 如 果 将 用 户 配置 为 使 用 整个 企业 
范围 内 的 唯一 配置 文件 ， 则 无 论 用 户 从 何 处 登录 到 网 络 都 可 以 使 用 已 存储 用 户 名 和 密码 。 

但 是 这 项 新 功能 也 会 产生 很 高 的 危险 ， 所 以 应 该 仅 在 适当 的 时 候 存储 用 户 名 和 密码 。 

基体 的 操作 是 : 单 击 开始 菜单 ， 选 择 控制 面板 ， 然 后 双击 存储 用 户 名 和 密码 ， 打 开 如 

图 4-4 所 示 的 对 话 框 。 对 此 项 新 功能 进行 配置 。 


存储 的 用 户 名 和 奢 码 耻 x|| 到 x 
5 


i ey 
| 
条 加 | he EPE 到 


贡 除 @) | 


172. 30.5.16 


4.4 Windows Server 2003 的 授权 


当 用 户 完成 身份 验证 之 后 ， 操 作 系统 需要 以 某 种 方式 限制 此 用 户 对 域 中 计算 机 资源 的 
访问 ， 在 大 多 数据 环境 中 ， 用 户 对 域 中 具体 计算 机 资源 的 访问 都 是 受 限 的 。 所 以 管理 员 可 
以 对 用 户 的 权利 和 权限 进行 管理 ， 而 使 系统 保持 安全 状态 。 


4.4.1 授权 基础 


实际 上 ， 访 问 控制 的 双方 的 关系 为 一 方 要 访问 资源 ， 而 另 一 方 需要 控制 用 户 的 访问 。 
在 这 两 者 之 间 ， 实 际 上 需要 第 三 方 。 在 Windows 环境 中 ， 第 三 方 称 为 安全 参考 监视 器 
(Security Reference Monitor，SRM)，SRM 是 运行 于 Windows 操作 系统 内 核 模式 中 的 具 
有 特权 的 安全 组 件 。 它 检验 所 有 来 自用 户 端 访问 资源 的 请 求 。 授 权 不 仅 处 理 平常 所 理解 的 
访问 控制 ， 如 对 文件 、 打 印 机 和 注册 密码 等 资源 的 访问 ， 还 能 控制 对 操作 系统 的 进程 和 线 
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程 的 访问 。 另 外 授权 还 可 以 执行 一 些 相关 任务 ， 在 微软 系统 中 这 些 任 务 称 为 用 户 权利 。 
Windows Server 2003 增加 了 授权 的 一 些 新 特征 ， 但 其 基本 模式 没有 发 生变 化 。 仍 然 主要 体 
现在 几 个 重要 的 概念 : 访问 令 牌 、 访 问 掩 码 、 安 全 描述 符 和 用 户 账户 模拟 上 。 图 4-5 显示 
了 Windows Server 2003 的 授权 模型 。 


访问 掩 码 
Sao 1 
ES i 
安全 主体 人 
SS | 
Wy 安全 描述 和 
用 拥有 者 SID 
a Sps 组 SID 
用 户 权利 目 主 ACLS 
1 = 
登录 仅 利 系统 ACLs 
用 户 特 权 
图 4-5 
访问 令 牌 与 用 户 登 录 会 话 链接 ， 当 每 个 用 户 登 录 系 统 时 ， 产 生 访 问 令 牌 。 在 操作 


中 产生 令 牌 的 组 件 是 本 地 安全 认证 机 构 (Local Security Authority，LSA )。 令 牌 包 含 用 户 域 
的 授权 信息 和 用 户 本 地 授权 信息 。 本 地 授权 信息 存储 在 系统 本 地 安全 数据 库 SAM 中 。 它 
包含 了 用 户 本 地 组 成 员 和 本 地 用 户 权利 。 可 以 使 用 whoami 工具 来 查看 令 牌 的 授权 信息 ， 

如 图 4-6 所 示 。 
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对 象 方 的 授权 属性 称 为 安全 描述 符 。 安 全 描述 符 给 授权 系统 提供 授权 的 信息 。 每 个 对 
象 都 有 安全 描述 符 与 授权 安全 对 象 相 链接 。 安 全 对 象 可 以 在 不 同 用 户 间 共 享 ， 而 这 些 用 户 
都 可 以 有 不 同 的 安全 授权 集 。 安 全 体 可 以 是 文件 、 文 件 夹 和 打印 机 等 任何 对 象 和 服务 。 其 
中 文件 系统 的 安全 描述 符 存储 在 NTFS 文件 系统 中 。 

每 个 安全 描述 符 都 包含 访问 控制 列表 集 (Access Control Lists，ACL )。ACL 由 多 个 访 
问 控制 实体 (Access Control Entries，ACE) 组 成 。ACE 与 安全 标识 符 〈Security Identity， 
SID ) 链接 来 确定 用 户 的 访问 权限 ， 也 就 是 访问 控制 ， 即 可 以 指定 读 取 、 修 改 或 者 复制 特 
定 的 系统 对 象 的 权限 。 

访问 控制 有 不 同 的 级 别 ， 从 字 节 级 别 到 系统 级 别 ， 并 且 可 以 基于 一 组 系统 级 别 模 型 。 

。 托管 访问 控制 要 求 进行 集中 的 授权 以 决定 对 某 人 什么 是 可 以 访问 的 ， 数 据 所 有 者 和 

创建 者 不 可 以 修改 访问 控制 。 

。 自由 选择 访问 控制 允许 对 象 的 所 有 者 定义 和 修改 分 配给 对 象 的 访问 控制 。 

。 基于 角色 的 访问 控制 ， 允 许 给 用 户 分 配角 色 ， 然 后 对 角色 应 用 访问 规则 。 这 样 可 简 

化 访问 规则 的 管理 并 且 可 以 提供 更 高 的 一 致 性 。 

。 操作 系统 支持 的 访问 控制 可 以 根据 可 使 用 的 粒度 ， 用 来 强化 控制 的 机 制 强度 ， 以 及 

集成 到 系统 管理 机 制 的 程度 。 

Windows 提供 两 种 形式 的 访问 控制 : 对 象 许可 和 系统 范围 用 户 权 利 。 对 象 许可 是 自由 
选择 访问 控制 ， 对 象 的 创建 者 可 以 设置 它们 。 用 户 权利 ， 在 分 配给 组 的 时 候 ， 人 允许 一 种 基 
于 角色 的 访问 控制 。Windows 的 内 核 包括 安全 参考 监视 器 ,在 系统 的 一 个 单一 模块 上 实现 
了 这 些 访问 仲裁 控制 。 

在 基于 Windows 的 系统 上 的 所 有 资源 ， 例 如 文件 (只 有 在 NTFS 上 )、 进 程 、 打 印 机 、 
注册 表 及 通信 设备 ， 在 对 象 监视 器 中 都 用 一 个 对 象 来 表示 。 在 一 个 对 象 上 执行 指定 操作 的 
许可 存放 在 访问 控制 列表 中 。ACL 提供 了 一 个 细 粒 度 的 访问 控制 ， 它 们 允许 对 象 所 有 者 基 
于 独立 用 户 ， 或 者 它们 定义 的 用 户 组 及 管理 员 定义 的 组 指定 许可 。 为 了 管理 上 的 方便 同时 
提供 了 本 地 组 和 全 局 组 。 关 于 ACL， 很 重要 的 一 点 是 ， 它 们 是 列表 ， 所 有 者 可 以 在 一 个 对 
象 上 定义 的 规则 的 数量 是 没有 限制 的 。 这 样 ， 所 有 者 可 以 指定 一 个 非常 全 面 的 列表 以 完全 
实现 他 们 希望 实现 的 访问 控制 。 

系统 范围 用 户 权 利 是 一 种 赋予 用 户 能 力 ， 或 者 权限 来 进行 特定 系统 动作 ， 而 不 会 提供 
超出 他 们 需要 的 权限 的 方法 。 可 以 分 别管 理 27 种 权限 。 这 些 权 
利和 限制 在 登录 的 时 候 包 含 在 验证 过 的 用 户 名 字 中 ， 而 且 只 能 
在 用 户 被 授予 这 种 权限 的 时 候 才 能 改变 (通常 保留 给 网 络 管理 访问 控制 列表 ACD 
员 )。 这 意味 着 没有 应 用 程序 能 为 一 般 的 用 户 修改 他 们 自己 的 安 访问 控制 实体 ACE) 
全 性 设置 ， 无 论 是 偶然 还 是 病毒 侵袭 。 SID 

下 面 给 出 访问 控制 列表 的 内 容 ， 如 图 4-7 所 示 。 lst 

在 安全 描述 符 中 ， 访 问 权利 是 由 访问 掩 码 十 六 进 制 值 表示 访问 控制 实体 
的 ， 如 0*1000、0*2000 和 0*3000 分 别 表 示 删 除 、 读 取 和 写 入 sD 
的 权利 , 所 有 的 权利 总 和 即 0*6000 将 是 用 户 访问 掩 码 。 每 个 安 访问 掩 码 《访问 权利 
全 描述 符 都 包含 两 种 类 型 的 ACL: 自主 访问 控制 列表 和 系统 访 | … 

问 控制 列表 。 自 主 访问 控制 列表 包括 对 象 所 有 者 设置 的 ACE。 
之 所 以 称 为 自主 是 由 于 ACE 是 由 对 象 所 有 者 设 定 的 .所 有 者 是 本 
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Windows 安全 模型 中 的 一 个 关键 概念 。 所 有 者 可 以 对 管理 的 对 象 进行 授权 ， 同 时 由 于 对 象 
的 所 有 者 就 是 Windows 用 户 账户 , 因此 由 它们 来 创建 对 象 .这 些 用 户 账户 可 以 是 域 管理 员 、 
组 管理 员 等 ， 这 将 在 账户 策略 中 详细 讲述 。 在 对 象 的 安全 描述 符 中 ， 所 有 者 由 所 有 者 SD 
字段 中 的 SID 来 表示 。 

系统 ACL 包括 对 象 审核 集 ， 是 由 管理 员 设 定 的 ， 它 是 非 自 主 的 。 它 们 与 对 象 的 所 有 
者 没有 任何 关系 。 系 统 访问 控制 列表 是 对 象 级 上 的 审核 。 这 将 在 审核 策略 中 详细 介绍 。 

在 Windows 的 授权 模型 中 ， 用 户 不 是 自己 访问 系统 资源 的 ， 而 是 由 服务 器 进程 来 完 
成 用 户 的 访问 资源 请 求 。 进 程 是 用 户 账户 的 模拟 。 当 进程 模拟 用 户 时 ， 这 意味 着 用 户 运行 
在 安全 的 上 下 文 ， 它 正在 使 用 用 户 授权 的 属性 。 

在 Windows Server 2003 中 有 以 下 模拟 级 : 匿名 (anonymous)、 识 别 〈identify)、 模 拟 
(impersonate) 和 委托 (delegate)。 

。 匿名: 进程 模拟 匿名 用 户 ， 访 问 令 牌 不 包含 任何 授权 信息 。 

。 识别 : 进程 能 使 用 用 户 的 安全 标识 来 执行 相关 的 安全 进程 ， 但 不 能 模拟 用 户 。 

。 模拟: 进行 能 代表 用 户 访问 本 地 计算 机 资源 。 访 问 令 牌 将 包含 用 户 授权 信息 。 

。 委托: 服务 能 够 代表 用 户 访问 本 地 计算 机 资源 和 远程 计算 机 资源 。 访 问 令 牌 将 包含 

用 户 授 权 信 息 。 


4.4.2 Windows Server 2003 的 授权 


在 Windows Server 2003 的 授权 中 主要 增加 了 有 效 的 权限 表 ， 默 认 活动 目录 (AD) 对 
象 安全 描述 符 的 改变 和 AD 对 象 配额 概念 的 使 用 。 


1. Windows Server 2003 授权 的 受 限 


在 Windows Server 2003 中 有 许多 受 限 的 默认 授权 集 。 

(1) NTFS 根 目 录 的 权限 受 限 更 严 ， 非 管理 员 在 此 目录 中 既 不 能 写 也 不 能 修改 任何 由 
其 他 用 户 创建 的 文件 。 而 2000 中 everyone 都 有 完全 控制 的 权限 。 在 2003 中 权限 如 下 。 

。 Administrator、System Account 和 Creator Owner: 完全 控制 。 

。 Everyone: 读 取 / 执 行 。 

。 User: 读 取 / 执 行 ， 生 成 文件 夹 /追加 数据 ， 生 成 文件 / 写 数 据 。 

(2) 默认 共享 权限 限制 更 严 。 

Everyone 现在 只 有 读 取 的 权限 。 这 就 是 说 对 于 新 创建 的 共享 ， 即 使 是 Administrator， 
也 只 有 读 取 的 权限 了 。 

(3) 控制 台 应 用 限制 更 严 。 

例如 常用 的 cemd.exe， 也 就 是 MS-DOS 窗口 。 它 使 用 默认 的 ACL， 权 限 如 下 。 

。 Administrator: 完全 控制 。 

。 System: 完全 控制 。 

。 交互 方式 : 读 取 和 执行 。 

。 服务 : 读 取 和 执行 。 

(4) 匿名 账户 不 再 属于 Everyone 组 。 而 Everyone 组 只 包含 验证 后 的 用 户 和 Guest 
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账户 。 
(5) 事件 日 志 的 安全 增强 。 

对 于 应 用 和 定制 日 志 ， 交 互 用 户 只 能 在 本 地 读 取 和 写 入 。 管 理 员 才能 远程 访问 。 

对 于 系统 日 志 ， 交 互 用 户 只 能 在 本 地 读 取 。 本 地 系统 、 本 地 服务 和 网 络 服务 只 能 在 本 
地 写 入 。 只 有 管理 员 才 能 远程 读 取 。 


2. 增加 的 有 效 权限 表 


具体 的 操作 过 程 是 : 打开 资源 管理 器 ， 选 择 相应 的 文件 或 文件 夹 ， 然 后 右 击 ， 在 弹出 
的 快捷 菜单 中 选择 “共享 与 安全 ”命令 ， 然 后 单 击 “ 安 全 ”按钮 ， 出 现 相关 用 户 的 权限 
然后 单 击 “高 级 ”按钮 ， 就 会 看 到 在 Windows Server 2003 中 增加 的 有 效 权 限 表 。 如 图 4-8 
所 示 。 


3. 默认 AD 安全 描述 符 的 改变 


对 于 域 对 象 ， 如 用 户 、 组 等 ， 在 Windows Server 2003 中 默认 安全 描述 符 有 了 改变 。 默 
认 的 安全 描述 符 可 以 通过 AD 对 象 类 的 属性 进行 设 定 。 为 了 使 用 这 个 管理 单元 ， 用 户 必须 
先 注 册 shmmgmtdll。 具 体 的 操作 步骤 如 下 。 

(1) 选择 “开始 ”一 “运行 ”命令 ， 在 “运行 ”对 话 框 中 的 “打开 ”下 拉 列 表 框 中 输 
入 regsvr32 schmmgmt.dll， 如 图 4-9 所 示 。 然 后 单 击 “ 确 定 ” 按 钮 ， 将 会 弹出 注册 成 功 的 
对 话 框 ， 如 图 4-10 所 示 。 单 击 “ 确 定 ”按钮 。 
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图 4-10 


(2) 建立 活动 目录 架构 MMC 管理 单元 选择“ 开始” 一 “运行 ”命令 ， 在 “运行 ” 
对 话 框 中 的 “打开 ”下 拉 列 表 框 中 输入 mme， 启 动 控制 台 ， 分别 如 图 4-11 和 图 4-12 所 示 。 


图 4-11 
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(3) 单 击 控制 台中 的 “文件 ”菜单 ， 选 择 “ 添 加 /删除 管理 单元 ”命令 ， 在 打开 的 对 话 
框 中 单 击 “ 添 加 ”按钮 ， 在 列表 框 中 选择 Active Directory 架构 选项 。 如 图 4-13 所 示 ， 然 
后 单 击 “ 确 定 ” 按 钮 。 


添加 独立 管理 单元 


咒 .MET Franework 1.1 Configu .. Microsoft Corpora 


向 Microsoft Corpora 

人 hetive Directory 用 户 和 计算 机 出 erosoft Corpora .. 
Active Directory 域 和 信任 关系 Microsoft Corpora .. 
Active Directory 站 点 和 服务 抽 crosoft Corpora... 

3 的 ActiveX 控件 Microsoft Corpora... 
DHCP Microsoft Corpora... 
DRS Microsoft Corpora 
ITS Virtual Directory Wana .. Microsoft Corpora .| 
和 on 


图 4-13 


(4) 展开 类 别 ， 为 相应 的 类 更 改 默认 的 安全 性 。 如 图 4-14 所 示 。 


4-14 
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4. AD 对 象 的 配额 


AD 对 象 的 配额 有 助 于 域 控制 器 抵御 拒绝 服务 攻击 ， 在 2000 版 本 中 是 没有 AD 对 象 配 
额 的 。AD 对 象 配额 指定 每 个 独立 AD 的 命名 上 下 文 和 分 区 。 只 有 Windows Server 2003 才 
能 执行 配额 。AD 对 象 配额 使 用 在 AD 配置 分 区 ， 如 图 4-15 所 示 。 


本 地磁 盘 (C:) 尾 性 


一 一 


4-15 


Windows 的 磁盘 配额 是 根据 所 有 者 属性 计算 的 ,授予 其 他 人 所 有 者 权限 的 功能 简化 了 
磁盘 配额 的 管理 。 例 如 ， 管 理 员 应 用 户 的 要 求 创建 了 新 的 文件 (例如 复制 一 些 文件 ， 或 安 
装 新 的 软件 ), 使 得 管理 员 成 为 新 文件 的 所 有 者 , 即 新 文件 占用 的 磁盘 空间 不 计 入 用 户 的 磁 
盘 配 额 限制 。 以 前 ， 要 解决 这 个 问题 必须 经 过 烦琐 的 配置 修改 ， 或 者 必须 使 用 第 三 方 工具 。 
现在 ，Windows Server 2003 直接 在 用 户 界面 中 提供 了 设置 所 有 者 的 功能 ， 这 类 有 关 磁 盘 配 
额 的 问题 可 以 方便 地 解决 了 《〈 对 于 使 用 NTFS 文件 系统 的 任何 类 型 的 操作 系统 都 有 效 ， 包 
括 Windows NT 4.0、2000 和 XP Pro， 只 要 修改 是 在 Windows Server 2003 上 进行 就 可 以 )。 

另外 ， 在 Windows Server 2003 中 还 有 许多 有 用 的 授权 工具 ， 分 别 如 下 。 

。 Cacls: 用 于 浏览 和 更 新 文件 系统 的 命令 行 工具 。 

。 Whoami: 此 命令 加 /a 参数 可 以 分 析 用 户 访问 令 牌 的 内 容 。 

。 Showpriv: 显示 用 户 和 组 的 授权 权利 的 命令 行 工具 。 
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。 Ntrights: 能 授予 或 撤销 用 户 和 组 权利 的 命令 行 工具 。 

。 Permcopy: 从 共享 处 复制 共享 权限 和 ACL 文件 。 

。 Showacls: 列举 文件 、 文 件 夹 和 林 的 访问 权限 的 命令 行 工具 。 

。 Subinacl: 在 用 户 与 用 户 间 、 全 局 组 与 组 之 间 、 域 与 域 之 间 传 输 安全 信息 的 命令 行 
工具 。 

。 Showmbrs: 显示 具体 组 成 员 的 用 户 名 的 命令 行 工具 。 

。 Dsacls: 管理 AD 对 象 的 ACL 的 命令 行 工具 。 

。 Sdcheck: 显示 AD 对 象 的 安全 描述 符 的 工具 。 


4.5 ”Windows Server 2003 的 授权 管理 器 


在 以 前 的 Windows 版 本 中 ， 提 供 了 以 对 象 为 中 心 的 授权 模型 。 资 源 管理 器 (RM) 管 
理 自身 的 对 象 集 ， 并 使 用 安全 描述 符 来 保护 这 些 对 象 。 每 当 某 个 客户 端 进入 并 请 求 访 问 受 
RM 保护 的 资源 时 ，RM 将 模拟 该 客户 端 并 调用 AccessCheck API。AccessCheck APT 将 依 
次 查看 该 客户 端的 安全 令 牌 、 需 要 访问 的 对 象 及 该 对 象 的 安全 描述 符 。AccessCheck API 向 
RM 返回 yes 或 no， 由 RM 确定 是 否 允 许 客户 端 访问 该 对 象 。 

在 Windows Server 2003 中 引入 了 一 项 新 的 功能 ,就 是 基于 角色 的 访问 控制 (Role Based 
Access Control，RBAC) 架构 。 这 种 架构 并 没有 替代 原来 Windows 系列 平台 中 的 自主 访问 
控制 架构 ， 而 是 将 新 的 关键 组 件 加 入 到 原 有 的 访问 控制 架构 中 。 图 4-16 给 出 了 Windows 
Server 2003 的 RBAC 架构 ， 由 授权 管理 器 来 完成 。 授 权 管 理 器 是 Windows Server 2003 的 
新 功能 。 


基于 Web 的 应 用 | EE 电子 商务 应 用 


| | | 


授权 API 

立 件 四。 挤 作 人 查看 尼 ) 全 DG 入 动 0 

咎 小 | 和 | 四 * 欠 国 导 鲁 \ / 
可 管理 给 


授权 管理 器 | 一 一 一 | 策略 数据 库 


授权 管理 器 控制 台 


图 4-16 


在 这 个 架构 中 ， 授 权 管理 器 处 于 核心 位 置 ， 也 就 是 基于 角色 的 访问 控制 是 由 授权 管理 
器 完成 的 。 授 权 管 理 器 (AzMan) 是 Windows 的 一 种 通用 的 、 基 于 角色 的 新 安全 体系 结 
构 。AzMan 与 COM+ 无 关 ， 因 此 它 可 以 用 在 任何 需要 基于 角色 的 授权 的 应 用 程序 中 , 包 
括 ASPNET Web 应 用 程序 或 Web 服务 、 基 于 .NET Remoting 的 客户 -服务 器 系统 等 。 在 
撰写 本 文 时 ， 授 权 管 理 器 仅 在 Windows Server 2003、Windows 2000 的 Service Pack 4 中 
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提供 。 

AzMan 有 两 个 部 分 : 运行 库 和 管理 UI。 运 行 库 由 AZROLES.DLL 提供 ， 它 公开 了 一 
组 供 那些 利用 基于 角色 安全 的 应 用 程序 使 用 的 COM 接口 。 管 理 UI 是 一 个 MMC 管理 
单元 ,可 以 通过 运行 AZMAN.MSC 或 者 通过 向 用 户 选择 的 MMC 控制 台中 添加 授权 管理 
器 管理 单元 对 其 进行 试验 ， 如 图 4-17 所 示 。 


| 足 授权 管理 器 


EE 


图 4-17 


授权 管理 器 为 应 用 程序 开发 人 员 提 供 了 一 个 灵活 框架 ， 可 将 基于 角色 的 访问 控制 集成 
到 应 用 程序 中 。 AzMan 管理 单元 在 两 种 模式 下 操作 : 开发 人 员 和 管理 员 , 在 管理 员 模式 下 ， 
没有 选择 创建 存储 区 或 应 用 程序 的 自由 ， 并 且 不 能 改动 应 用 程序 代码 所 依赖 的 低级 别 操作 
定义 。 坦 白地 说 ， 没 有 什么 东西 能 够 妨碍 系统 管理 员 进入 开发 人 员 模 式 并 完成 这 些 操作 
但 要 点 是 在 管理 员 模式 下 ，UI 中 选项 的 数量 将 减少 ,以 简化 管理 员 的 工作 并 帮助 他 们 避免 
错误 。“ 选 项 ”对 话 框 如 图 4-18 所 示 。 
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当 使 用 授权 管理 器 的 应 用 程序 初始 化 之 后 ， 它 将 从 存储 区 中 加 载 授权 策略 信息 。 在 
Windows Server 2003 中 ， 授 权 管 理 器 允许 将 授权 策略 存储 在 Active Directory 中 ， 或 者 
以 .xml 格式 保存 在 文件 中 。 包 含 授权 策略 存储 区 的 系统 的 管理 员 对 该 存储 区 具有 很 高 的 
访问 权限 ， 因 此 授权 策略 存储 区 必须 存放 在 可 靠 的 系统 中 。 

当 使 用 Active Directory 存储 区 时 ， 授 权 管 理 器 将 为 存储 区 本 身 创 建 Active Directory 
对 象 ， 并 为 每 个 应 用 程序 组 、 应 用 程序 、 操 作 、 任 务 、 角 色 和 范围 创建 子 对 象 。 范 围 对 象 
可 以 包含 在 该 范围 内 创建 的 任务 、 角 色 和 组 。 

另外 ， 授 权 管理 器 还 允许 授权 策略 以 . xml 格式 保存 在 NTFS 文件 系统 〈 该 系统 受 
ACL 保护 ) 的 文件 中 。XML 存储 区 可 位 于 用 作 授 权 管理 器 服务 器 的 计算 机 上 ， 也 可 以 保 
存在 远程 位 置 。 为 了 支持 重 命名 对 象 ，.xml 格式 包含 了 全 局 唯一 标识 符 (GUID)， 这 就 导 
致 不 需要 也 不 能 直接 编辑 .xml 文件 。 可 以 通过 授权 管理 器 MMC UI 来 编辑 存储 区 ， 也 
可 以 通过 可 供 诸如 VBScript 和 JScript 之 类 的 脚本 语言 使 用 的 授权 管理 器 接口 来 编辑 存 
储 区 。 

在 安装 时 ， 调 用 相应 的 API 创建 授权 存储 区 、 创 建 操作 和 任务 ， 可 能 还 要 创建 应 用 
程序 需要 的 某 些 初始 角色 。 在 运行 时 ， 应 用 程序 将 初始 化 授权 管理 器 并 将 其 连接 到 授权 存 
储 区 ， 然 后 与 该 应 用 程序 特有 的 存储 区 部 分 建立 连接 。 

Windows Server 2003 中 的 基于 角色 的 访问 控制 为 业务 流程 类 型 的 应 用 程序 提供 了 简 
化 的 开发 模型 。 管 理 员 和 开发 人 员 都 可 以 受益 于 这 个 合理 的 框架 ， 有 效 地 为 组 织 结构 和 业 
务 流程 建 模 。 


4.6 ”Windows Server 2003 的 安全 模式 


在 现在 的 网 络 应 用 中 , 信息 的 安全 则 显得 更 加 重要 。 下 面 从 用 户 的 角度 对 Windows 的 
安全 性 做 一 些 探讨 。 

Windows Server 2003 通过 一 系列 的 管理 工具 ,以 及 对 用 户 账号 、 口令 的 管理 , 对 文件 、 
数据 授权 访问 ， 执 行动 作 的 限制 ， 以 及 对 事件 的 审核 达到 C2 级 安全 。 从 用 户 的 角度 看 ， 
通过 这 一 套 完 整 、 可 行 、 易 用 而 并 不 烦琐 的 措施 可 以 达到 较 好 的 效果 。 

Windows 的 安全 机 制 的 基础 是 所 有 的 资源 和 操作 都 受到 选择 访问 控制 的 保护 , 许多 安 
全 机 制 不 是 外 加 的 ， 而 是 建立 在 操作 系统 内 部 的 ， 可 以 通过 一 定 的 设置 使 文件 和 其 他 资源 
免 受 在 存放 的 计算 机 上 工作 的 用 户 和 通过 网 络 接触 资源 的 用 户 的 威胁 〈 如 破坏 、 非 法 的 编 
辑 等 )。 安 全 机 制 甚至 提供 基本 的 系统 功能 , 例如 设置 系统 时 钟 。 对 用 户 账号 、 用 户 权限 及 
资源 权限 的 合理 组 合 ， 可 以 有 效 地 保证 安全 性 。 


4.6.1 Windows Server 2003 的 安全 策略 


作为 自身 考虑 的 安全 策略 ， 对 于 用 户 而 言 ，Windows 有 以 下 几 种 管理 手段 ， 这 些 对 安 
全 性 有 着 极 大 的 影响 。 

。 用 户 账号 和 用 户 密码 。 

。 域名 管理 。 
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。 用 户 组 权限 。 
。 共享 资源 的 权限 。 


1. 用 户 账号 和 用 户 密码 


Windows 的 安全 机 制 通过 请 求 分 配 用 户 账号 和 用 户 密码 来 帮助 保护 计算 机 及 其 资源 。 
给 值得 信任 的 使 用 者 ， 按 其 使 用 的 要 求 和 网 络 所 能 给 予 的 服务 分 配合 适 的 用 户 账号 ， 并 且 
给 其 容易 记 住 的 账号 密码 。 使 用 对 账号 的 用 户 权力 的 限制 及 对 文件 的 访问 管理 权限 的 策略 ， 
可 以 达到 对 服务 器 的 数据 的 保护 。 其 中 用 户 账号 有 用 户 名 、 全 名 和 描述 三 个 部 分 。 用 户 名 
是 用 户 账号 的 标识 ， 全 名 是 对 应 用 户 名 的 全 称 ， 描 述 是 对 用 户 所 拥有 的 权限 的 较 具体 的 说 
明 。 组 包括 组 名 和 描述 两 个 部 分 ， 组 名 是 标识 ， 描 述 是 说 明 。 一 定 的 用 户 账号 对 应 一 定 的 
权限 ，Windows Server 2003 对 权限 的 划分 更 细 ， 如 备份 、 远 程 管理 和 更 改 系 统 时 间 等 ， 通 
过 对 用 户 的 授权 〈 在 规则 菜单 中 ) 可 以 细 化 一 个 用 户 或 组 的 权限 。 用 户 的 账号 和 密码 有 一 
定 的 规则 ， 包 括 账号 长 度 、 密 码 的 有 效 期 、 登 录 失败 的 锁定 及 登录 的 历史 记录 等 ， 通 过 对 
这 些 的 综合 修改 可 以 保证 用 户 账号 的 安全 使 用 。 


2. 域名 管理 


以 Windows Server 2003 组 建 的 网 络 是 一 个 局 域 网 范围 的 网 。 所谓 “ 域 ” 是 指 网 络 服务 
器 和 其 他 计算 机 的 逻辑 分 组 ， 凡 是 在 共享 域 范围 内 的 用 户 都 使 用 公共 的 安全 机 制 和 用 户 账 
号 信息 。 每 个 用 户 有 一 个 账号 ， 每 次 登录 的 是 整个 域 ， 而 不 是 某 一 个 服务 器 。 即 使 在 物理 
上 相隔 较 远 ， 但 在 迪 辑 上 可 以 在 一 个 域 上 ， 这 样 便于 管理 。 在 网 络 环境 下 ， 使 用 域 的 管理 
就 显得 更 为 有 效 。 这 里 应 该 注意 到 ， 在 Windows Server 2003 中 ,关于 域 的 所 用 的 安全 机 制 
信息 或 用 户 账号 信息 都 存放 在 目录 数据 库 〈 称 为 安全 账号 管理 器 ，SAM) 中 。 目 录 数 据 库 
存放 在 服务 器 中 ， 并 且 复 制 到 备份 服务 器 中 。 通 过 有 规律 的 同步 处 理 ， 可 以 保证 数据 库 的 
安全 性 、 有 效 性 。 在 用 户 每 次 登录 时 ， 通 过 目录 数据 库 检 查 用 户 的 账号 和 密码 。 所 以 在 对 
Windows Server 2003 进行 维护 时 应 该 特别 小 心目 录 数 据 库 的 完整 性 ， 一 般 来 讲 只 有 管理 员 
才 具 有 对 此 的 编辑 权限 。 

域 的 最 大 优点 是 域 中 的 控制 器 服务 器 形成 了 共享 的 安全 机 制 和 用 户 账 号 信息 的 单个 
管理 单元 ， 大 大 地 节省 了 管理 员 及 用 户 的 精力 和 时 间 ， 在 管理 上 较 方便 ， 也 显得 集中 。 在 
使 用 “ 域 ” 的 划分 时 ， 应 该 注意 到 “ 域 ”是 建立 在 一 个 子 网 范围 内 ， 其 基础 是 相互 之 问 的 
信任 度 。 由 Server 2003 组 网 区 别 于 一 般 的 TCP/IP 的 组 网 ，TCP/IP 是 一 种 较 松散 的 组 网 形 
式 ， 靠 路 由 器 完成 子 网 之 间 的 寻 径 通 信 ; 而 Windows Server 2003 组 网 是 一 种 紧密 的 联合 ， 
服务 器 之 间 是 靠 安 全 信任 建立 它们 的 联系 的 。 主 从 关系 、 委 托 关系 是 建立 在 信任 度 上 的 。 


3. 用 户 组 权限 


管理 员 一 般 根据 用 户 访问 网 络 的 类 型 和 等 级 给 用 户 分 组 。 组 包括 “全 局 组 ”和 “本 地 
组 ”。 全 局 组 由 一 个 域 的 几 个 用 户 账号 组 成 ， 所 谓 全 局 是 指 可 以 授予 该 组 使 用 多 个 〈 全 局 ) 
域 资源 的 权力 和 权限 。 全 局 组 只 能 在 域 中 创建 。 本 地 组 有 用 户 账号 和 一 个 或 多 个 域 中 的 全 
局 组 构成 ， 这 些 用 户 在 同一 个 账号 下 ， 只 有 非 本 地 域 的 用 户 和 全 局 组 处 于 受托 域 中 时 ， 才 
可 以 将 其 添加 到 本 地 组 中 。 本 地 组 可 以 包含 用 户 和 全 局 组 ， 但 不 能 包含 其 他 本 地 组 。 
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Windows Server 2003 域 控制 器 包含 内 置 本 地 组 , 它 决 定 了 用 户 登 录 到 域 控制 器 时 可 以 
进行 的 操作 ， 域 控制 器 上 的 内 置 本 地 组 给 管理 员 在 管理 域 安全 机 制 方面 增加 了 隐患 。 因 为 
每 一 个 内 置 本 地 组 都 有 一 套 预先 确定 的 权限 ， 这 些 权 限 自动 地 应 用 于 添加 到 该 组 中 的 每 一 
个 用 户 账号 ， 假 若 需 要 对 组 中 的 某 些 用 户 的 权限 做 一 些 修改 ， 可 以 在 用 户 管理 器 中 进行 。 
建议 在 使 用 其 默认 权力 时 ， 对 用 户 进行 仔细 的 筛选 ， 防 止 在 组 员 中 有 信用 度 不 高 的 用 户 ， 
而 对 网 络 资源 造成 损坏 。 


4. 共享 资源 权限 


Windows Server 2003 允许 用 指定 他 人 共享 的 资源 。 资 源 共享 后 ， 可 以 通过 网 络 限制 某 
些 用 户 对 它 的 访问 权限 ， 这 称 为 共享 权限 的 限制 。 针 对 不 同 的 用 户 ， 可 以 利用 资源 共享 及 
资源 权限 来 创建 不 同 的 资源 安全 级 别 。Windows Server 2003 的 较 大 特点 在 其 文件 系统 。 在 
NTFS 文件 系统 中 ， 可 以 使 用 权限 对 单个 文件 进行 保护 ， 并 且 可 以 把 该 权限 应 用 到 本 地 访 
问 和 网 络 访问 中 。 在 NTFS 卷 上 ， 可 以 对 文件 设置 文件 权限 ， 对 目录 设置 目录 权限 。 用 于 
指定 可 以 访问 的 组 和 用 户 及 允许 的 访问 等 级 时 ，NTFS 卷 的 共享 权限 与 文件 及 目录 的 权限 
共同 起 作用 。 共 享 目 录 时 ， 通 过 共享 目录 设置 的 权限 允许 用 户 连 接 到 共享 资源 ， 反 之 改变 
设备 可 以 中 断 与 用 户 的 共享 资源 的 连接 。 资 源 所 有 者 或 管理 员 使 用 NTFS 的 共享 目录 的 默 
认 权限 ( 空 全 控制 )， 可 以 使 用 目录 与 文件 权限 来 管理 文件 的 安全 性 问题 。 


4.6.2 ”在 网 络 中 Windows Server 2003 的 安全 性 


作为 一 种 针对 网 络 应 用 的 操作 系统 ， 安 全 性 通过 其 本 身 的 内 部 机 制 得 到 了 一 定 的 基本 
保证 ， 例 如 用 户 账号 、 用 户 密码 、 共 享 资源 权限 和 用 户 管理 器 等 。 在 实践 中 的 应 用 也 证 明 
了 Windows Server 2003 的 安全 性 的 可 靠 程度 还 能 支持 应 用 。 但 是 ， 随 着 网 络 的 不 断 扩 大 ， 
以 及 通过 Internet 互联 ， 资 源 的 共享 和 系统 的 安全 、 用 户 的 隐私 、 运 行 的 效率 这 些 矛 盾 日 
益 的 突出 。 在 用 户 获 得 较 大 的 自由 度 和 灵活 性 而 与 世界 各 地 的 人 和 计算 机 通信 的 同时 ， 在 
另 一 方面 增加 了 系统 的 冒险 性 一 一 有 人 也 可 以 自由 通过 网 络 访问 你 的 机 器 或 资源 ， 甚 至 于 
你 的 隐私 ， 给 你 的 系统 增加 负担 ， 降 低 运 行 效 率 。 为 了 更 好 地 发 挥 服务 器 的 作用 ， 同 时 减 
轻 其 在 安全 性 上 的 冒险 性 ， 有 必要 在 Server 2003 安全 模型 的 基础 上 结合 IIS 的 安全 机 制 ， 
这 样 在 客观 上 讲 ， 可 以 较 好 地 解决 上 述 的 矛盾 。 

在 网 络 中 ， 有 三 种 方式 可 以 访问 Windows Server 2003 服务 器 。 


1. 通过 用 户 账号 、 密 码 和 用 户 组 方式 登录 到 服务 器 


在 服务 器 允许 的 权限 内 对 资源 进行 访问 、 操 作 。 这 种 方式 的 可 控制 性 较 强 ， 可 以 针对 
不 同 的 用 户 。 

Windows Server 2003 系统 首先 必须 在 Server 2003 中 拥有 一 个 账号 ， 其 次 规定 该 账号 
在 系统 中 的 权力 和 权限 。 

在 Windows Server 2003 系统 中 ,权力 专 指 用 户 对 整个 系统 能 够 做 的 事情 , 如 关 掉 系统 、 
往 系统 中 添加 设备 及 更 改 系 统 时 间 等 。 权 限 专 指 用 户 对 系统 资源 所 能 做 的 事情 ， 如 对 某 文 
件 的 读 、 写 控制 ， 对 打印 机 队列 的 管理 。Server 2003 系统 中 有 一 个 安全 账号 数据 库 ， 其 中 
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存放 的 内 容 有 用 户 账号 及 该 账号 所 具有 的 权力 等 。 用 户 对 系统 资源 所 具有 的 权限 则 与 特定 
的 资源 一 起 存放 。 

用 户 登 录 过 程 

在 没有 用 户 登录 时 ， 可 以 看 到 屏幕 上 显示 一 个 对 话 框 ， 提 示 用 户 登录 在 Windows NT 
系统 中 。 实 际 上 ，Windows Server 2003 系统 中 有 一 个 登录 进程 。 当 用 户 在 开始 登录 时 ， 按 
下 Ctrl+Altt+Del 组 合 键 ，Windows Server 2003 系统 启动 登录 进程 ， 弹 出 登录 对 话 框 ， 让 用 
户 输入 账号 名 及 口令 。 按 下 CtrlHAltt+Del 组 合 键 时 ，Windows Server 2003 系统 保证 弹出 的 
登录 对 话 框 是 系统 本 身 的 ， 而 不 是 一 个 貌似 登录 对 话 框 的 应 用 程序 ， 以 防止 被 非法 窃取 用 
户 名 及 口令 。 

所 以 ， 在 登录 时 ， 无 论 屏 幕 上 是 否 有 登录 对 话 框 ， 一 定 要 按 下 Ctrl+AlttDel 组 合 键 ， 
以 确保 弹出 的 对 话 框 是 Windows Server 2003 系统 的 登录 对 话 框 , 此 过 程 就 是 强制 性 登录 过 
程 。 登 录 进程 收 到 用 户 输 入 的 账号 和 口令 后 ， 就 查找 安全 账户 数据 库 中 的 信息 。 如 果 账 户 
及 口令 无 效 ， 则 用 户 的 登录 企图 被 拒绝 ， 如 果 账 户 及 口令 有 效 ， 则 把 安全 账户 数据 库 中 有 
关 该 账户 的 信息 收集 在 一 起 ， 形 成 一 个 存 取 标 识 。 

存 取 标 识 中 的 主要 内 容 有 : 

。 用 户 名 及 SID。 

。 用 户 所 属 的 组 及 组 SID。 

。 用 户 对 系统 所 具有 的 权力 。 

然后 Windows Server 2003 就 启动 一 个 用 户 进程 , 将 该 存 取 标识 与 之 连 在 一 起 , 这 个 存 
取 标 识 就 成 了 用 户 进程 在 Windows Server 2003 系统 中 的 通行 证 。 

用 户 无 论 做 什么 事情 ，Windows Server 2003 中 负责 安全 的 进程 都 会 检查 其 存 取 标 识 ， 
以 确定 其 操作 是 否 合 法 。 

用 户 成 功 地 登录 之 后 , 只 要 用 户 没有 注销 自己 , 其 在 系统 中 的 权力 就 以 存 取 标识 为 准 ， 
Windows Server 2003 安全 系统 在 此 期 间 不 再 检查 安全 账户 数据 库 。 这 主要 是 考虑 到 效率 。 

存 取 标识 的 作用 相当 于 缓存 ， 只 不 过 存 取 标识 缓存 的 是 用 户 安全 信息 ， 使 得 系统 不 必 
再 从 硬盘 上 查找 。 安 全 账户 数据 库 是 由 域 用 户 管理 器 来 维护 的 ， 在 某 个 用 户 登 录 后 ， 有 可 
能 管理 员 会 修改 其 账户 及 权力 等 ,但 这 些 修 改 只 有 在 用 户 下 次 登录 时 才 有 效 ,因为 Windows 
Server 2003 安全 系统 在 用 户 登录 后 只 检查 存 取 标识 ， 而 不 是 检查 安全 账户 数据 库 。 比 如 
Userl 已 登录 到 了 Windows Server 2003 系统 中 ， 管 理 员 发 现 其 缺少 了 某 种 权力 ， 就 用 域 用 
户 管理 器 做 了 相应 的 修改 ， 那 么 ， 除 非 Userl 重新 登录 一 次 ， 否 则 Userl 仍 无 法 享有 该 
权力 。 

存 取 标识 包含 的 内 容 并 没有 访问 权限 ， 而 存 取 标识 又 是 用 户 在 系统 中 的 通行 证 ， 那 么 
NT 如 何 根据 存 取 标识 控制 用 户 对 资源 的 访问 呢 ? 

原来 ， 给 资源 分 配 的 权限 作为 该 资源 的 一 个 属性 ， 与 资源 一 起 存放 。 比 如 有 目录 为 D: 
\Files， 对 其 指定 Userl 只 读 ，User2 可 完全 控制 ， 则 这 两 个 权限 都 作为 D:\Files 目录 的 属 
性 与 该 目录 连 在 一 起 。 在 Server 2003 内 部 以 访问 控制 列表 的 形式 存放 。ACL 中 包含 了 每 
个 权限 的 分 配 ， 以 访问 控制 项 来 表示 。ACE 中 包含 了 用 户 名 及 该 用 户 的 权限 。 比 如 上 面 
提 到 的 这 个 例子 中 ，DxEiles 的 ACL 中 有 两 个 ACE， 分 别 是 “Userl: 只 读 ” 和 “User2: 完 
全 控制 "。 当 Userl 访问 该 目录 时 ，Server 2003 安全 系统 检查 用 户 的 存 取 标 识 ， 与 目录 
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的 ACL 对 照 ， 发 现 用 户 存 取 标 识 中 的 用 户 名 与 ACL 中 有 对 应 关系 且 所 要 求 的 权限 合法 ， 
则 访问 获得 允许 ， 和 否则 ， 访 问 被 拒绝 。 

2. 在 局 部 范围 内 通过 资源 共享 的 形式 登录 网 络 

这 种 方式 建立 在 NETBIOS 的 基础 之 上 。 对 共享 的 访问 不 能 经 过 路 由 器 ， 范 围 被 限制 
在 一 个 子 网 范围 内 ， 在 使 用 的 灵活 性 上 受到 限制 ， 通 过 对 共享 资源 的 共享 权限 的 控制 达到 
安全 保护 。 但 不 能 针对 不 同 的 用 户 ， 当 一 个 用 户 在 通过 共享 对 某 一 个 资源 进行 操作 时 这 
时 共享 权限 有 所 扩大 )， 其 他 用 户 乘 虚 而 入 ， 而 造成 对 资源 的 破坏 。 例 如 设置 NTFS 的 安 


全 性 : 


Windows Server 2003 获得 美国 政府 的 C2 安全 性 认证 在 很 大 程度 上 取决 于 NTFS 文件 


系统 具有 很 强 的 安全 性 。 

NTFS 文件 系统 的 安全 性 体现 在 : 
除非 用 户 拥有 必要 的 权限 ， 否 则 不 能 够 
访问 NTFS 上 的 文件 。 

NTFS 将 所 有 的 文件 和 目录 都 看 成 
是 对 象 ， 并 为 它们 设置 权限 ， 可 以 在 每 

-个 文件 级 和 用 户 级 层次 上 进行 访问 控 


制 。NTFS 还 具有 审计 能 力 ， 可 以 跟踪 二 加 四 | abs@) | 
哪些 文件 曾 被 成 功 地 访问 ， 哪 些 文件 曾 ”heinistrater 的 权限 四 ji 掀 
被 恶意 访问 。 2 -| 
Se je 
为 NTFS 设置 安 全 性 包括 为 NTFS ri 加 站 
上 的 文件 或 目录 设置 权限 。 读 取 回 口 
选中 要 设置 权限 的 文件 或 者 目录 右 A 国 FE 
特别 权限 或 高 级 设置 ,请 单 击 “ 高 级 ”。 


击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ” 
命令 , 打开 如 图 4-19 所 示 的 对 话 框 ， 选 
择 “ 安 全 ”选项 卡 。 在 对 话 框 中 ， 可 以 
添加 组 和 用 户 ， 然 后 可 以 设置 相关 的 权 
限 ， 也 可 以 设置 特别 权限 。 


下 载 的 Tindors Server 2003 网 络 安 全 管理 尾 娃 


EE 
常规 | 共享 ”安全 | 自 定义 | 
姐 或 用 户 名 称 (@): 
局 A tt 


MALLBUSINESS\Administrator) 


Adinistrators (SMALLBUSINESS\Administrators) 
ssn 


高 的 w | 
取消“ | 应 有 wy | 


图 4-19 


3. 在 网 络 中 通过 TCP/IP 协议 对 服务 器 进行 访问 


目前 典型 应 用 有 FTP、HTTP 和 WWW 等 。 通 过 对 文件 权限 的 限制 和 对 IP 的 选择 ,对 
登录 用 户 的 认证 可 以 在 安全 性 上 做 到 一 定 的 保护 。 但 由 于 Windows 是 微软 的 产品 ， 其 透 


明度 并 不 高 ， 安 全 隐患 有 可 能 就 隐藏 于 此 。 


(1) Windows Server 2003 本 身 有 可 能 存在 Bug， 一 旦 被 发 现 ， 就 有 可 能 造成 损失 。 

(2) 由 于 网 络 的 日 益 庞大 ， 使 通过 INTERNET 访问 某 个 国家 的 机 密 成 为 可 能 ， 假 如 在 
编写 网 络 操作 系统 的 同时 ， 为 以 后 通过 TCP/IP 入 侵 留 下 隐藏 的 人 为 的 漏洞 。 

下 面 针 对 上 述 三 种 情况 在 安全 措施 上 作 一 些 介绍 。 


1) 设置 用 户 账号 
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Windows Server 2003 的 用 户 管理 器 指定 允许 某 些 用 户 或 用 户 组 可 以 在 服务 器 上 操作 ， 
可 以 控制 对 Web 节点 的 访问 。 可 以 通过 Web 客户 请 求 提 供 在 完成 请 求 之 前 定制 的 IIS 用 户 
名 和 密码 ， 这 样 可 以 进一步 控制 在 网 络 中 对 服务 器 的 访问 。 通 过 公共 的 管理 工具 中 的 “ 策 
略 ? 设置 用 户 权力 , 在 “用 户 管理 器 ”中 配置 在 计算 机 上 授权 用 户 所 进行 的 操作 。 用 户 Basic 
身份 验证 时 ， 用 户 所 要 求 用 于 Intemet 服务 的 权力 。 若 使 用 Windows Server 2003 
Challege/Response 身份 验证 ， 用 户 使 用 Internet 服务 则 需要 有 “从 网 络 访问 本 机 ”的 权力 。 

2) 设置 必要 的 WwW 目录 访问 权限 

在 Intemet Server manager 中 创建 Web 发 布 目录 (文件 夹 ) 时 ， 可 以 为 定义 的 主 目录 或 
虚拟 目录 及 其 中 所 有 的 文件 夹 设置 访问 权限 ， 这 些 权限 是 NTFS 文件 系统 提供 的 权限 之 外 
的 部 分 ， 其 中 的 权限 是 只 读 ， 只 执行 ， 这 样 可 以 防止 用 户 修改 。 

3) 通过 人 P 地 址 控制 访问 权限 

可 以 配置 IS 以 允许 或 拒绝 特定 的 他 地 址 访问 你 的 服务 器 或 整个 网 络 ,在 实际 应 用 中 ， 
对 于 一 些 未 知 的 用 户 ， 若 从 安全 的 角度 出 发 ， 可 以 通过 卫 设置 排出 。 假 若 在 日 志 分 析 中 通 
过 分 析 可 以 发 现 某 些 用 户 或 用 户 组 有 不 良 倾向 或 侵犯 倾向 ， 那 Administrator 可 以 通过 IIS 
设置 ， 不 再 允许 这 些 用 户 或 组 的 卫 地址 访问 本 机 及 本 网 络 。 

4) 使 用 SSL 保护 数据 在 网 络 中 的 传输 

在 网 络 应 用 中 ， 数 据 在 网 络 上 传输 的 安全 是 关系 到 整个 网 络 应 有 安全 的 重要 问题 。 使 
用 密码 技术 保护 数据 从 服务 器 到 客户 端的 双向 传输 ， 从 某 种 意义 上 说 也 是 保护 SERVER 
2003 资源 不 受 侵犯 的 有 效 途径 。SSL 为 TCP/IP 连接 提供 数据 加 密 ， 服 务 器 身份 验证 和 消 
息 的 完整 性 。 它 被 视 为 Intemet 上 的 Web 浏览 器 和 服务 器 的 标准 安全 措施 。SSL 加 密 的 传 
输 较 之 未 加 密 的 传输 速度 要 慢 ， 为 了 避免 整个 节点 的 性 能 受到 影响 ， 所 以 一 般 考 虑 对 于 较 
敏感 的 信息 数据 才 采 取 SSL 加 密 。 目 前 使 用 较 多 的 是 身份 验证 、 信 用 卡 和 电子 银行 等 业务 。 
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最 严格 的 安全 防护 也 不 能 防止 所 有 的 安全 事故 。 操 作 系统 提供 的 安全 功能 中 很 重要 的 
一 点 就 是 责任 ， 它 确保 任何 实体 的 动作 将 唯一 用 该 实体 标识 。 一 个 实体 可 以 是 一 个 人 , 一 
个 操作 系统 资源 ， 或 者 一 个 外 部 系统 ， 例 如 计算 机 或 者 网 络 。 

操作 系统 的 责任 服务 把 所 有 的 安全 相关 事件 同一 个 标识 联系 起 来 。 根 据 以 下 两 个 指标 
评估 责任 : 

。 机 制 用 来 分 配 责 任 的 强度 。 

。 操作 系统 基于 这 个 信息 进行 决策 的 能 力 。 

在 Windows Server 2003 中 , 安全 管理 是 一 项 非常 重要 的 服务 , 它 新 增加 了 软件 安全 策 
略 这 一 新 功能 。 并 且 如 前 所 述 ， 在 安全 架构 上 增加 了 许多 安全 的 组 件 来 确保 操作 系统 的 安 
全 。 但 为 了 保证 服务 器 的 安全 ， 管 理 员 还 需要 根据 企业 或 单位 的 实际 情况 来 配置 相关 的 安 
全 策略 。 在 Windows Server 2003 中 ， 安 全 管理 主要 体现 在 三 个 主要 方面 : 安全 策略 管理 、 
安全 补丁 管理 和 相关 的 审核 管理 。 相 应 的 安全 设置 如 图 4-20 所 示 。 

图 4-20 中 的 大 部 分 策略 都 可 以 使 用 组 策略 来 完成 。 还 有 一 些 配置 需要 使 用 安全 配置 编 
辑 器 和 一 些 配置 工具 ， 分 别 用 三 种 不 同 的 图 形 来 表示 。 
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i 端口 (IPSec 
文件 ACL | | 注册 ACL CaD 人) 
用 户 权利 | | 安全 选项 (Git | E23 
CG 区 安全 》 [组 贝 户 安全 第 咯 补 了 级 出 】 人 软 作 人 
ES 应 用 程序 安全 服务 器 设置 次 全 由 


图 4-20 


4.7.1 Windows Server 2003 组 策略 


管理 员 可 以 使 用 组 策略 来 定义 用 户 工 作 的 环境 。 用 户 和 计算 机 设置 都 在 组 策略 中 ， 
Windows Server 2003 加 强 了 组 策略 设置 ， 增 加 了 更 新 设置 和 软件 安全 策略 。 可 以 给 站 点 、 
域 或 组 织 单元 容器 来 配置 组 策略 。 组 策略 可 以 为 站 点 集中 设置 策略 ， 对 于 域 和 组 织 单元 可 
以 对 不 同 的 计算 机 和 用 户 账户 配置 不 同 的 策略 。 启 动 组 策略 编辑 器 ， 如 图 4-21 所 示 。 


i 组 策略 编辑 器 
文件 EE) 操作 &) 查看 YW) 帮助 00 
和 | 四 | 轩 加 | 国 


宣 Default Domain Policy [84vizxd9u284Te9. smal 


日 全 Windows 设置 让 
节 ] 脚本 (启动 /关机 选择 一 个 项 目 来 查看 它 的 描述 。 ET 
安全 设置 


用 户 配置 


十 无 线 网 络 CEEI 
由 - 国 公 铀 策略 

由 - 国 软件 限制 策略 
由 轧 了 安全 策略 , 


疡 .个 管理 梧 析 
| \ 扩 展 人 称 古 / 
i 


图 4-21 


在 组 策略 中 有 许多 策略 ， 在 这 里 只 介绍 安全 设置 。 可 以 对 本 地 计算 机 、 域 和 网 络 进行 
安全 设置 。 主 要 包括 用 户 账户 策略 和 审核 策略 及 用 户 权利 和 事件 日 志 。 

首先 使 用 Windows Server 2003 中 的 安全 模板 ， 选择“ 开始 ”一 “运行 ”命令 ,在 “ 运 
行 ”对 话 框 中 的 “打开 ”下 拉 列 表 框 中 输入 mmc.exe。 出 现 控制 台 ， 然 后 单 击 “ 文 件 ” 按 
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钮 ,选择 “添加 /删除 管理 单元 ”出现 如 图 4-22 所 示 对 话 框 ， 选 择 安全 模板 。 然 后 单 击 “ 关 
闭 ”按钮 ， 会 出 现 安全 管理 模板 的 控制 台 。 如 图 4-23 所 示 。 


添加 独立 管理 单元 


Wi crosoft SQL 企业 管理 器 Microsoft Corpora .. 
Microsoft Corpora... 
Microsoft Corpora. 
Microsoft Corpora. . 
Microsoft Corpora... 
Merosoft Corpora... 
Microsoft Corpora. .. 
Microsoft Corpora. .. 
Microsoft 和 YERI... 


securede 的 超 集 。 对 Lanllanager 身份 验证 
securews 的 超 集 。 对 Lanllanager 身份 验证 ... 


将 默认 的 根 目录 权限 运用 于 0s 磁盘 分 区 并 格 ，，， 


从 图 4-23 可 知 ， 可 以 通过 安全 模板 ， 对 用 户 、 域 控制 器 和 域 控制 器 管理 单元 设置 相关 
的 策略 。 

用 户 账户 的 保护 一 般 主要 围绕 着 密码 的 保护 来 进行 。 为 了 避免 用 户 身份 由 于 密码 被 破 
解 而 被 夺取 或 盗用 ， 通 常 可 采取 诸如 提高 密码 的 破解 难度 、 启 用 账户 锁定 策略 、 限 制 用 户 
登录 、 限 制 外 部 连接 及 防范 网 络 嗅 探 等 措施 。 在 Windows Server 2003 系统 的 账户 和 本 地 策 
略 中 包括 账户 策略 和 本 地 策略 两 个 方面 ， 而 其 中 的 “账户 策略 ”又 包括 密码 策略 、 账 户 锁 
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定 策略 和 Kerberos 策略 三 个 方面 。 因 为 前 面 已 经 详细 地 介绍 了 Kerberos 策略 ， 这 里 只 介绍 
前 两 种 。 另 外 的 “本 地 策略 ”包括 审核 策略 、 用 户 权限 分 配 和 安全 选项 三 部 分 。 下 面 分 别 
予以 介绍 。 


1. 账户 策略 


(1) 密码 策略 的 设置 

提高 密码 的 破解 难度 主要 是 通过 采用 提高 密码 复杂 性 、 增 大 密码 长 度 及 提高 更 换 频 率 
等 措施 来 实现 ， 但 这 常常 是 用 户 很 难 做 到 的 ， 对 于 网 络 中 的 一 些 安全 敏感 用 户 就 必须 采取 
一 些 相关 的 措施 ， 以 强制 改变 不 安全 的 密码 使 用 习惯 。 

在 Windows 系统 中 可 以 通过 一 系列 的 安全 设置 ， 并 同时 制定 相应 的 安全 策略 来 实现 。 
在 Windows Server 2003 系统 中 , 可 以 通过 在 安全 策略 中 设 定 “密码 策略 ”来 进行 。Windows 
Server 2003 系统 的 安全 策略 可 以 根据 网 络 的 情况 ， 针 对 不 同 的 场合 和 范围 进行 有 针对 性 的 
设 定 。 例 如 可 以 针对 本 地 计算 机 、 域 及 相应 的 组 织 单元 来 进行 设 定 ， 这 将 取决 于 该 策略 要 
影响 的 范围 。 以 域 安全 策略 为 例 ， 其 作用 范围 是 企业 网 中 所 指定 域 的 所 有 成 员 。 在 域 管理 
工具 中 运行 “ 域 安 全 策略 ”工具 ， 然 后 就 可 以 针对 密码 策略 进行 相应 的 设 定 。 

密码 策略 也 可 以 在 指定 的 计算 机 上 用 本 地 安全 策略 来 设 定 ， 同 时 也 可 在 网 络 中 特定 的 
组 织 单元 通过 组 策略 进行 设 定 。 

密码 策略 作用 于 域 账户 或 本 地 账户 ， 其 中 就 包含 以 下 几 个 方面 : 

。 强制 密码 历史 。 

。 密码 最 长 使 用 期 限 。 

。 密码 最 短 使 用 期 限 。 

。 密码 长 度 最 小 值 。 

。 密码 必须 符合 复杂 性 要 求 。 

。 用 可 还 原 的 加 密 来 存储 密码 。 

以 上 各 项 的 配置 方法 均 需 根据 当前 用 户 账户 类 型 来 选择 。 默 认 情 况 下 ， 成 员 计 算 机 的 
配置 与 其 域 控制 器 的 配置 相同 。 在 图 4-24 中 顺 要 定义 相关 密码 策略 ， 在 相应 策略 处 右 击 ， 
选择 属性 ， 就 可 以 设置 这 些 策略 了 。 


文件 到 ) ”操作 忆 ) ”查看 局 ) 收 诚 夹 QQ) 窗口 中 帮助 0 
所 祖 | 馈 四 | 图 | 多 


而 控制 台 根 节点 \ 安 全 模板 \C: VTYINDOYS ri ty\tenplates\conpatrs\ 帐 户 策略 \ 密 码 策 栈 


白 居 安全 模板 
日 全 C:WINDOWS\security\1 
日 - 国 conpatrs 
日 娃 帐 P 


帐 尸 锁定 策 本 


Kerberos 策 


由 
人 3 
由 -记事 件 日 志 


图 4-24 
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(2) 账户 锁定 策略 

账户 锁定 是 指 在 某 些 情况 下 例如 账户 受到 采用 密码 词典 或 暴力 猜 解 方式 的 在 线 自动 
登录 攻击 ), 为 保护 该 账户 的 安全 而 将 此 账户 进行 锁定 .使 其 在 一 定 的 时 间 内 不 能 再 次 使 用 ， 
从 而 挫败 连续 的 猜 解 尝试 。 

Windows 2003 系统 在 默认 情况 下 ， 为 方便 用 户 起 见 ， 这 种 锁定 策略 并 没有 进行 设 定 ， 
此 时 ， 对 黑客 的 攻击 没有 任何 限制 。 只 要 有 耐心 ， 通 过 自动 登录 工具 和 密码 猜 解 字典 进行 
攻击 ， 甚 至 可 以 进行 暴力 模式 的 攻击 ， 那 么 破解 密码 只 是 一 个 时 间 上 的 问题 。 账 户 锁定 策 
略 设 定 的 第 一 步 就 是 指定 账户 锁定 的 阔 值 ， 即 锁定 前 该 账户 无 效 登 录 的 次 数 。 一 般 来 说 ， 
由 于 操作 失误 造成 的 登录 失败 的 次 数 是 有 限 的 。 在 这 里 设置 锁定 阔 值 为 3 次 ， 这 样 只 允许 
3 次 登录 尝试 。 如 果 3 次 登录 全 部 失败 ， 就 会 锁定 该 账户 。 

但 是 ， 一 旦 该 账户 被 锁定 后 ， 即 使 是 合法 用 户 也 无 法 使 用 了 。 只 有 管理 员 才 可 以 重新 
启用 该 账户 ， 这 就 造成 了 许多 不 便 。 为 方便 用 户 起 见 ， 可 以 同时 设 定 锁定 的 时 间 和 复位 计 
数 器 的 时 间 ,， 这样 在 3 次 无 效 登 录 后 就 开始 锁定 账户 , 锁定 时 间 为 30 分 钟 。 以 上 的 账户 锁 
定 设 定 ， 可 以 有 效 地 避免 自动 猜 解 工具 的 攻击 ， 同 时 对 于 手动 尝试 者 的 耐心 和 信心 也 可 造 
成 很 大 的 打击 。 锁 定 用 户 账户 常常 会 造成 一 些 不 便 ， 但 系统 的 安全 有 时 更 为 重要 。 

用 于 域 账 户 或 本 地 用 户 账户 ， 它 们 确定 某 个 账户 被 系统 锁定 的 情况 和 时 间 长 短 。 主 要 
包含 以 下 三 个 方面 。 

。 账户 锁定 时 间 : 该 安全 设置 确定 锁定 的 账户 在 自动 解锁 前 保持 锁定 状态 的 分 钟 数 。 
有 效 范 围 为 0 一 99 999 分 钟 。 如 果 将 账户 锁定 时 间 设 置 为 0， 那 么 在 管理 员 明确 将 
其 解锁 前 ， 该 账户 将 被 锁定 。 如 果 定 义 了 账户 锁定 阔 值 ， 则 账户 锁定 时 间 必 须 大 于 
或 等 于 重 置 时 间 。 默 认 值 是 “无 ”。 因 为 只 有 当 指定 了 账户 锁定 阔 值 时 ， 该 策略 设 
置 才 有 意义 。 
账户 锁定 阔 值 : 该 安全 设置 确定 造成 用 户 账户 被 锁定 的 登录 失败 尝试 的 次 数 。 无 法 
使 用 锁定 的 账户 ， 除 非 管理 员 进 行 了 重新 设置 或 该 账户 的 锁定 时 间 已 过 期 。 登 录 尝 
试 失败 的 范围 可 设置 为 0 一 999。 如 果 将 此 值 设 为 0， 则 将 无 法 锁定 账户 。 对 于 使 用 
Ctrl+AlttDelete 键 或 带 有 密码 保护 的 屏幕 保护 程序 锁定 的 工作 站 或 成 员 服务 器 计算 
机 上 ， 失 败 的 密码 尝试 计 入 失败 的 登录 尝试 次 数 中 。 默 认 值 为 0。 
复位 账户 锁定 计数 器 : 该 安全 设置 确定 在 登录 尝试 失败 计数 器 被 复位 为 0 ( 即 0 次 
失败 登录 尝试 ) 之 前 ， 尝 试 登录 失败 之 后 所 需 的 分 钟 数 。 有 效 范围 为 1 一 99 999 分 
钟 。 如 果 定 义 了 账户 锁定 阔 值 ， 则 该 复位 时 间 必 须 小 于 或 等 于 账户 锁定 时 间 。 默 认 
值 为 “无 ” 因为 只 有 当 指 定 了 “上 账户 锁定 阔 值 ”时 ， 该 策略 设置 才 有 意义 。 

配置 方法 也 是 通过 双击 ， 或 单 击 选择 某 账户 锁定 策略 选项 ， 然 后 再 单 击 右键 ， 选 择 属 
性 选项 ， 打 开 类 似 图 4-25 所 示 对 话 框 ， 在 其 中 进行 配置 即 可 。 

2. 审核 策略 

从 安全 的 观点 看 ， 审 核 是 重 现 安全 相关 事件 以 支持 对 事件 的 原因 和 影响 的 检查 。 审 核 
跟踪 或 者 系统 日 志 信息 可 以 被 用 来 判断 是 否 有 违反 政策 的 事情 发 生 或 者 是 否 有 值得 怀疑 的 


事情 。 老 练 的 侵入 探测 产品 使 用 操作 系统 的 审核 踪迹 作为 分 析 的 基础 。 审 核 踪迹 还 提供 了 
跟踪 复杂 的 安全 性 事故 的 来 源 和 提供 任何 补救 行动 可 能 需要 的 证 据 的 能 力 。 
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帐户 镜 定 时间 尾 性 


图 4-25 


可 以 根据 下 面 的 原则 评估 操作 系统 的 安全 审核 能 力 : 

。 支持 的 安全 相关 事件 的 宽度 和 深度 。 

。 可 以 用 来 保护 审核 踪迹 的 机 制 强度 (黑客 在 闻 入 系统 以 后 的 第 一 步 往往 是 关闭 审核 

功能 或 者 删除 审核 日 志 )。 

。 对 处 理 大 量 由 操作 系统 产生 的 审核 数据 的 支持 。 

Windows Server 2003 提供 了 事件 日 志 (EventLogging)。 事 件 日 志 可 以 被 配置 在 系统 级 
别 和 对 象 级 别 ， 记 录 安 全 相关 事件 。 系 统 事件 包括 登录 和 退出 登录 ， 文 件 和 对 象 访问 ， 用 
户 权利 的 使 用 ， 用 户 和 组 管理 ， 安 全 政策 改变 ， 重 新 启动 和 关机 ， 系 统 错误 ， 以 及 进程 跟 
踪 。 文 件 和 对 象 审核 可 以 被 控制 在 单个 文件 ， 目 录 ， 或 者 如 果 需 要 的 话 ， 也 可 以 是 驱动 器 。 

在 管理 操作 系统 时 ， 审 核 策略 是 非常 重要 的 ，Windows Server 2003 系统 审核 策略 可 以 
应 用 于 本 地 计算 机 和 域 进行 配置 , 如 图 4-26 所 示 。 详细 信息 窗 格 中 要 更 改 审核 策略 设置 的 
事件 类 别 。 然 后 在 对 话 框 中 设置 即 可 完成 相关 事件 的 审核 。 
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另外 , 在 组 策略 中 ， 还 可 以 配置 用 户 权限 分 配 ， 如 图 4-26 所 示 ， 具 体操 作 也 是 在 详细 
窗 格 中 双击 相应 的 策略 ， 进 行 配置 即 可 。 

上 面 所 介绍 的 只 sia mt 就 要 看 用 户 的 具体 情况 了 。 虽 
然 这 需要 有 较 大 的 耐心 一 项 一 项 的 配置 ， 但 它 却 是 一 劳 永 逸 的 做 法 。 图 4-27 所 示 的 每 一 项 
we ee ea aa ee 
其 他 的 策略 配置 ， 配 置 过 程 都 非常 相似 。 读 者 可 以 根据 自己 的 实际 需要 进行 配置 。 


文件 中 操作 避 查看 WW 收藏 天 @) 窗口 和 帮助 
[a] 


再 可 四 | 


国内 二 展 起 中 取出 计算 机 
加 从 网 络 访问 此 计算 机 
加 全程 系 统 强制 关机 
程序 


图 4-27 


4.7.2 安全 分 区 


从 安全 性 的 角度 看 ， 每 一 个 系统 实体 〈 用 户 或 者 计算 机 资源 ) 被 分 配 一 个 安全 分 区 ， 
或 者 叫做 域 。 一 个 安全 域 是 一 个 凶 辑 结构 ， 由 实体 被 授权 访问 的 所 有 对 象 组 成 。 一 个 用 户 
域 也 许 包 括 存储 空间 、1/O 设备 、 应 用 程序 ， 以 及 其 他 元 素 。 一 个 进程 域 只 包含 那些 被 授 
权 使 用 的 系统 资源 如 数据 、 存 储 空间 和 LO 等 ) 这 个 用 户 以 及 他 们 可 以 访问 的 资源 的 分 
和 分 段 与 Windows Server 2003 操作 系统 中 使 用 的 网 络 管理 域 是 两 个 不 同 的 概念 。 

在 系统 实体 创建 的 时 候 就 定义 一 个 域 ， 发 生 在 用 户 被 添加 到 一 个 计算 机 系统 的 时 候 。 
该 定义 基于 某 些 在 较 大 的 系统 上 为 不 同 个 体 或 者 用 户 种 类 定义 安全 政策 的 信任 模型 上 。 域 
分 离 强制 实体 实现 机 制 ， 确 保 任何 实体 都 真正 在 它 定 义 的 域 上 操作 ， 同 时 仍然 坚持 修改 域 
定义 的 政策 。 

强制 域 分 离 的 操作 系统 机 制 的 效力 基于 限制 对 授权 域外 访问 的 机 制 的 强度 。 对 进行 中 
的 域 分 离 强制 来 说 ， 操 作 特 性 也 是 一 个 关键 ， 如 果 域 很 难 管理 ， 系 统管 理 员 通常 默认 使 用 
很 宽 的 域 定义 , 这 样 可 以 最 小 化 改变 的 影响 , 但 是 同时 也 大 大 地 降低 了 能 提供 的 安全 级 别 。 
集成 到 目录 结构 中 ， 都 基于 角色 的 域 定义 的 支持 和 其 他 高 级 机 制 都 是 很 重要 的 因素 。 

Windows Server 2003 通过 维护 进程 间 的 地 址 分 离 提供 了 进程 孤立 。 实 体 间 的 所 有 访问 
和 通信 都 通过 仲裁 接口 。 该 仲裁 是 内 核 提 供 的 ， 在 一 个 用 户 编 程 不 能 使 用 的 保护 地 址 空间 
中 操作 。 所 有 的 内 核 功能 包含 在 一 个 单一 的 模块 中 ， 即 安全 参考 模块 Security Reference 
Module)。 这 样 把 所 有 安全 相关 的 功能 集中 到 一 个 从 一 开始 就 为 安全 而 设计 单一 模块 中 。 
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通过 这 个 模块 ，Windows Server 2003 内 核 控 制 任何 应 用 程序 可 以 访问 的 资源 。 例 如 ， 用 一 
个 普通 用 户 的 许可 运行 的 应 用 程序 不 能 访问 其 他 应 用 程序 ， 或 者 具有 更 高 权限 的 用 户 保留 
的 内 存 或 文件 系统 资源 ， 内 核 自动 强制 实现 这 个 功能 。 

Windows Server 2003 在 分 配 系统 缓冲 给 一 个 用 户 之 前 会 清除 该 缓冲 ,并且 维护 一 个 文 
件 使 用 指针 以 防止 磁盘 上 文件 块 的 重用 。 这 样 可 以 防止 用 户 之 间 的 不 可 预测 的 信息 流 。 另 
外 ，Windows Server 2003 提供 应 用 程序 在 返还 交换 空间 给 操作 系统 之 前 清除 它们 的 能 力 ， 


在 系统 关机 的 情况 下 也 是 一 样 。 这 些 是 
很 重要 的 存储 空间 重用 功能 ， 可 以 防止 
攻击 者 读 取 其 他 用 户 的 应 用 程序 留 下 的 
信息 。 


4.7.3 ”安全 分 区 加 密 文件 系统 


Windows Server 2003 支持 利用 EFS 
技术 对 任意 文件 或 文件 夹 进行 加 密 ， 这 
是 一 种 核心 的 文件 加 密 技术 , 基于 NTFS 
系统 ， 只 有 NTFS 系统 的 磁盘 才能 使 用 
此 技术 。 加 密 后 的 文件 或 文件 夹 就 不 可 
被 除 此 用 户 以 外 的 任何 用 户 访问 。 这 样 
就 能 更 好 地 保护 自己 的 敏感 数据 和 重要 
文件 。 选 择 要 加 密 的 文件 ， 右 击 ， 在 弹 
出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 
开 如 图 4-28 所 示 对 话 框 。 单 击 “ 高 级 ” 
按钮 ， 打 开 如 图 4-29 所 示 对 话 框 ， 选 中 
加 密 内 容 以 保护 数据 。 


ET ?x 
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4.7.4 Windows Server 2003 安全 管理 采用 的 对 策 


管理 员 在 管理 Windows Server 2003 时 , 一定 要 从 物理 安全 、 登 录 安全 、 用 户 安全 、 文 
件 系统 和 打印 机 安全 、 注 册 表 安全 、RAS 安全 、 数 据 安全 、 各 应 用 系统 安全 等 方面 制定 强 
化 安全 的 措施 。Windows Server 2003 的 安全 管理 的 对 策 如 下 。 


1. 物理 安全 管理 


。 去 掉 或 锁 死 软盘 驱动 器 ， 禁 止 DOS 或 其 他 操作 系统 访问 NTFS 分 区 。 

。 在 服务 器 上 设置 系统 启动 口令 ， 设 置 BIOS 禁用 软盘 引导 系统 。 

。 不 创建 任何 DOS 分 区 。 

。 保证 机 房 的 物理 安全 。 

。 磁盘 权限 设置 : C 盘 只 给 administrators 和 system 权限 ， 其 他 的 权限 不 给 ， 其 他 的 盘 
也 可 以 这 样 设置 。 这 里 给 的 system 权限 也 不 一 定 需要 给 ， 只 是 由 于 某 些 第 三 方 应 用 
程序 是 以 服务 形式 启动 的 ， 需 要 加 上 这 个 用 户 ， 否 则 造成 不 能 启动 。 


2， 及 时 更 新 补丁 


用 最 新 的 Service Pack 升级 Windows Server 2003， 因 为 服务 包 包 括 所 有 补丁 程序 和 后 
来 发 表 的 很 多 安全 补丁 程序 。 系 统 升级 、 打 操作 系统 补丁 ， 尤 其 是 IIS 6.0 补丁 、SQL SP3a 
补丁 ， 甚 至 正 6.0 补丁 也 要 打 。 同 时 及 时 跟踪 最 新 漏洞 补丁 。 


3. 避免 给 用 户 定义 特定 的 访问 控制 


将 用 户 以 “组 ”的 方式 进行 管理 是 一 个 用 户 管理 的 有 效 方法 。 如 果 一 个 用 户 在 公司 里 
的 角色 变 了 ， 很 难 跟踪 并 更 改 他 的 访问 权 。 为 每 个 用 户 指定 一 个 工作 组 ， 为 工作 组 指定 文 
件 、 文 件 夹 访问 权 。 如 果 要 收回 或 更 改 某 个 用 户 的 访问 权 ， 只 要 把 该 用 户 从 工作 组 中 删除 
或 指定 另 一 个 工作 组 。 


4. 实施 账号 及 口令 策略 


用 域 用 户 管理 器 配置 口令 策略 ， 选 择 口令 要 注意 以 下 几 点 : 

。 登录 名 称 中 字符 不 要 重复 或 循环 。 

。 至 少 包 含 两 个 字母 字符 和 一 个 非 字 母 字 符 。 

。 至 少 有 6 个 字符 长 度 。 

不 要 用 用 户 的 姓名 ， 相 关 人 物 、 著 名 人 物 的 姓名 ， 以 及 用 户 的 生日 和 电话 号 码 及 其 
他 容易 猜测 的 字符 组 合 等 。 

要 求 用 户 定期 更 改口 令 。 

给 系统 的 默认 用 户 特别 是 Administrator 改名 并 设置 复杂 密码 。 
不 要 使 用 无 口令 的 账号 ， 否 则 会 给 安全 留 下 隐患 。 

禁用 Guest 账号 。 

设置 账号 锁定 。 
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5. 控制 远程 访问 服务 


远程 访问 是 入 侵 者 攻击 Windows Server 2003 系统 的 常用 手段 ，Windows Server 2003 
集成 的 防止 外 来 入 侵 最 好 的 功能 是 认证 系统 。Windows Server 2003 客户 机 不 仅 可 以 交换 加 
密 用 户 ID 和 口令 数据 ， 而 且 还 使 用 Windows 专用 的 挑战 /响应 协议 ， 这 可 以 确保 决 不 会 多 
次 出 现 相同 的 认证 数据 ， 还 可 以 有 效 阻止 内 部 黑客 捕 提 网 络 信 息 包 。 同 时 ， 如 条 件 允 许 ， 
应 该 使 用 回 叫 安全 机 制 ， 并 尽量 采用 数据 加 密 技术 ， 保 证 数据 安全 。 对 于 个 人 用 户 来 说 ， 
终端 服务 一 般 来 说 是 不 适用 的 ， 它 的 危险 性 远大 于 它 带 来 的 帮助 ， 它 允许 从 网 络 中 的 任何 
虚拟 计算 机 上 管理 你 的 机 器 。 使 用 运行 Windows Server 2003 家 族 操作 系统 的 任何 计算 机 ， 
通过 管理 远程 桌面 ， 来 远程 管理 服务 器 。 使 用 系统 自 带 的 远程 桌面 连接 即 可 完成 连接 和 控 
制 。 所 以 ， 对 于 普通 用 户 来 说 ， 必 须 禁止 终端 服务 。 


6.， 启动 审核 功能 


为 防止 未 经 授权 的 访问 ， 可 以 利用 域 用 户 管理 器 启用 安全 审核 功能 ， 以 便 在 事件 查看 
器 安全 日 志 中 记录 未 经 授权 的 访问 企图 ， 以 便 尽早 发 现 安全 漏洞 。 但 要 结合 工作 实际 ， 设 
置 合理 的 审计 规则 ， 切 鼠 审 查 事件 太 多 ， 以 免 没 有 时 间 全 部 审查 安全 问题 。 推 荐 的 要 审核 
的 项 目 是 : 

。 登录 事件 。 

。 账户 登录 事件 。 

。 系统 事件 。 

。 策略 更 改 。 

。 对 象 访问 。 

。 目录 服务 访问 。 

。 特权 使 用 。 

具体 的 审核 操作 是 : 在 “运行 ”对 话 框 中 的 “打开 ”下 拉 列 表 框 中 输入 gpeditmsc， 
按 回 车 键 ， 打 开 组 策略 编辑 器 ， 选 择 “ 计 算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ” 
一 “审核 策略 ” 在 创建 审核 项 目 时 需要 注意 的 是 如 果 审 核 的 项 目 太 多 ， 生 成 的 事件 也 就 越 
多 ,那么 要 想 发 现 严重 的 事件 也 越 难 。 当 然 , 如 果 审 核 的 太 少 也 会 影响 你 发 现 严重 的 事件 ， 
需要 根据 情况 在 这 两 者 之 间 做 出 选择 。 


7. 确保 注册 表 安 全 


首先 ， 取 消 或 限制 对 regedit.exe、regedit32.exe 的 访问 ， 其 次 ， 利 用 regedit.exe 或 文件 
管理 器 设置 只 允许 管理 员 访 问 注册 表 ， 其 他 任何 用 户 不 得 访问 注册 表 。 


8. 应 用 系统 的 安全 


在 Windows Server 2003 上 运行 的 应 用 系统 ， 如 Web 服务 器 、FTP 服务 器 、E-mail 服 
务 器 ,Intemet Explorer 和 IIS 等 , 应 及 时 通过 各 种 途径 (如 Web 站 点 ) 获得 其 补丁 程序 包 ， 
以 解决 其 安全 问题 。 把 IIS 中 的 sample、scripts、iisadmin 和 msadc 等 Web 目录 设置 为 禁止 
匿名 访问 并 限制 卫 地址， 把 FTP、Telnet 的 TCP 端口 改 为 非 标准 端口 。Web 目录 、CGI 
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目录 、scripts 目录 和 WinNT 目录 等 重要 目录 要 用 NTFS 的 特性 设置 详细 的 安全 权限 ,包含 
注册 表 信 息 的 WinNT 目录 只 人 允许 管理 员 完 全 控制 。 凡 是 与 系统 有 关 的 重要 文件 ， 除 了 
Administrator， 其 他 账号 都 应 该 设置 为 只 读 权 限 ， 而 不 是 由 Everyone 完全 控制 。 


9. 取消 TCP/IP 上 的 NetBIOS 绑 定 


Windows Server 2003 系统 管理 员 可 以 通过 构造 目标 站 NetBIOS 名 与 其 卫 地 址 之 间 的 
映像 , 对 Intemet 或 mtranet 上 的 其 他 服务 器 进行 管理 , 但 非法 用 户 也 可 从 中 找到 可 乘 之 机 。 
如 果 这 种 远程 管理 不 是 必须 的 , 就 应 该 立即 取消 (通过 网 络 属性 的 绑 定 选项 , 取消 NetBIOS 
与 TCP/IP 之 间 的 绑 定 )。 如 NetBIOS 端口 39， 要 禁止 这 样 的 端口 。 对 于 个 人 用 户 来 说 ， 
安装 中 默认 的 有 些 端口 确实 是 没有 什么 必要 的 ， 关 掉 端 口 也 就 是 关闭 无 用 的 服务 。139 端 
口 是 NetBIOS 协议 所 使 用 的 端口 ， 在 安装 了 TCP/IP 协议 的 同时 ，NetBIOS 也 会 被 作为 默 
认 设 置 安装 到 系统 中 。139 端口 的 开放 意味 着 硬盘 可 能 会 在 网 络 中 共享 ， 网 上 黑客 也 可 通 
过 NetBIOS 知道 你 的 计算 机 中 的 一 切 。 在 Windows Server 2003 中 ， 关 闭 139 端口 的 具体 
步骤 如 下 。 

(1) 单 击 “ 开 始 ” 选择 “连接 到 ” 然后 打开 所 有 连接 ， 在 本 地 连接 处 右 击 ， 在 弹出 
的 快捷 菜单 中 选择 “属性 ”命令 ， 进 入 属性 对 话 框 ， 然 后 去 掉 “Microsoft 网 络 的 文件 和 打 
印 机 共享 ”前 面 的 选中 标记 ， 如 图 4-30 所 示 。 

二 本 地 连接 尾 性 
第 规 | 验证 | 高 级 | 


连接 时 使 用 
[3 Realtek RTLB139 Fonily PCI Fa: 


此 连接 使 用 下 列 项 目 O) 

口 加 网 络 负 载 平 稀 2 

国 

团 太 Internet 协议 (CP/IP) 司 

1 上 
安装 四. | 郑 载 中 | 属性 信 ) | 


说 明 晤 于 
| ott 上 的 


友 连接 后 在 通知 区 域 显 示 图 标志 ) 
此 主 接 被 限制 或 无 连接 时 通知 我 如 


图 4-30 


(2) 双击 Intemet 协议 (TCP/IP)， 单 击 “ 高 级 ”按钮 ， 然 后 选择 WINS 选项 卡 ， 选 中 
“禁用 TCP/IP 上 的 NetBIOS” 单 选 按钮 ， 这 样 就 禁用 了 TCP/IP 上 的 NetBIOS 绑 定 。 如 图 
4-31 所 示 。 


10. Internet Explorer 增强 的 安全 配置 
微软 新 一 代 的 Windows Server 2003 操作 系统 在 安全 性 能 方面 得 到 了 加 强 。 比如 在 使 用 
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Windows Server 2003 自 带 的 正 浏览 器 浏览 网 页 时 ， 每 次 都 会 弹出 一 个 安全 提示 框 ， 是 否 
启用 Internet Explorer 增强 的 安全 配置 对 话 框 。 


高 级 rcPym 设置 


11. 清除 默认 共享 隐患 


Windows Server 2003 系统 在 默认 安装 时 会 产生 默认 的 共享 文件 夹 。 每 个 盘 符 都 被 
Windows 自动 设置 了 共享 ， 其 共享 名 为 盘 符 后 面 加 一 个 符号 $ (共享 名 称 分 别 为 cS$、d$、 
ipc$ 及 admin$)。 也 就 是 说 ， 只 要 攻击 者 知道 了 该 系统 的 管理 员 密码 ， 就 有 可 能 通过 “\N 工 
作 站 名 \ 共 享 名 称 ” 的 方法 ， 来 打开 系统 的 指定 文件 夹 。 所 以 需要 将 Windows Server 2003 
系统 默认 的 共享 隐患 ， 立 即 从 系统 中 清除 掉 。 具 体 方法 是 编写 脚本 ， 然 后 把 脚本 文件 放 在 
system32\GroupPolicy\Usen\Scripts\Logon 目录 下 ， 在 组 策略 中 打开 用 户 配置 ， 然 后 找到 登 
录 脚 本 。 如 图 4-32 所 示 ， 双 击 登 录 ， 将 编写 好 的 脚本 添加 即 可 ， 重 新 启动 时 ， 这 个 共享 隐 
患 就 不 存在 了 。 


12. 禁用 IPC 连接 


IPCS$ (Internet Process Connection) 是 共享 “命名 管道 ”的 资源 ， 它 是 为 了 让 进程 问 通 
信和 而 开放 的 命名 管道 ， 通 过 提供 可 信任 的 用 户 名 和 口令 ， 连 接 双方 计算 机 即 可 以 建立 安全 
的 通道 并 以 此 通道 进行 加 密 数 据 的 交换 ， 从 而 实现 对 远程 计算 机 的 访问 。 它 是 Windows 
NT/2000/XP/2003 特有 的 功能 ， 它 有 一 个 特点 ， 即 在 同一 时 间 内 ， 两 个 人 P 之 间 只 允许 建立 
一 个 连接 。NT/2000/XP/2003 在 提供 了 IPCS$ 功 能 的 同时 ， 在 初次 安装 系统 时 还 打开 了 默认 
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各 组 策 咯 编辑 器 “= 
文件 EE) 操作) 查看 帮助 
对 小 | 因 | 加 | 加 | 多 


Default Domain Policy [84vizxd9u2847e9. smallbu El 层 本 (登录 /注销 ) 
日 加 计算 机 配置 
日 - 国 软件 设置 


由 翻 Internet Explorer 维护 
由 - 园 管理 模板 


图 4-32 


共享 ， 即 所 有 的 逻辑 共享 (6$、d$、e$、…) 和 系统 目录 winnt 或 Windows(admin$) 共 享 。 所 
有 的 这 些 ， 微 软 的 初衷 都 是 为 了 方便 管理 员 的 管理 ， 但 也 为 简称 为 IPC 入 侵 者 有 意 或 无 意 
地 提供 了 方便 条 件 ， 导 致 了 系统 安全 性 能 的 降低 。 在 建立 IPC 的 连接 中 不 需要 任何 黑客 工 
有 具 ， 在 命令 行 里 输入 相应 的 命令 就 可 以 了 ， 不 过 有 个 前 提 条 件 ， 那 就 是 需要 知道 远程 主机 
的 用 户 名 和 密码 。 打 开 CMD 后 输入 如 下 命令 即 可 进行 连接 : net useNip\ipc$ "password" 
/user:"usernqme"。 可 以 通过 修改 注册 表 来 禁用 IPC 连接 。 打 开 注 册 表 编辑 器 。 找 到 如 下 组 
建 HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\ControlN\Lsa 中 的 restrictanony- 
mous 子 键 ， 将 其 值 改 为 1 即 可 禁用 IPC 连接 。 


13. 清空 远程 可 访问 的 注册 表 路 径 


Windows 2003 操作 系统 提供 了 注册 表 的 远程 访问 功能 , 只 有 将 远程 可 访问 的 注册 表 路 
径 设置 为 室 ， 才 能 有 效 地 防止 黑客 利用 扫描 器 通过 远程 注册 表 读 取 计 算 机 的 系统 信息 及 其 
他 信息 。 具 体操 作为 : 打开 组 策略 编辑 器 ， 展 开 “ 计 算 机 配置 ”一 “Windows 设置 ”一 “ 安 
全 设置 ”一 “本 地 策略 ”一 “安全 选项 ”， 在 右 侧 窗口 中 找到 “网 络 访问 : 可 远程 访问 的 注 
册 表 路 径 ”然后 在 打开 的 窗口 中 , 将 可 远程 访问 的 注册 表 路 径 和 子路 径 内 容 全 部 设置 为 空 
即 可 。 如 图 4-33 所 示 。 


14. 禁止 不 必要 的 服务 ， 杜 绝 隐患 


服务 从 本 质 上 说 也 只 是 一 个 程序 ， 它 与 其 他 程序 所 不 同 的 地 方 在 于 它 提供 一 种 特殊 的 
功能 来 支持 系统 完成 特定 的 工作 。Windows Server 2003 安装 完 后 默认 有 84 项 服务 ， 默 认 
随 系统 启动 的 有 36 项 。 在 Windows Server 2003 发 行 后 不 到 两 个 月 就 被 人 发 现 有 了 一 个 基 
于 一 项 默认 服务 的 漏洞 ,幸好 这 个 漏洞 对 Windows Server 2003 的 危害 程度 较 低 , 而 且 这 项 
服务 默认 状态 下 是 关闭 的 。 具 体操 作为 选择 管理 工具 ， 然 后 单 击 打开 服务 ， 所 有 的 服务 都 
如 图 4-34 所 示 。 用 户 可 以 根据 实际 来 启动 和 禁用 相关 的 服务 。 
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网 络 访问 - 可 运程 访问 的 注册 表 路 径 尾 性 上 


lISystem\CurrentControlSet\Control\ProductOptions 
lSystem\CurrentControlSet\Control\Server Applications 
Software\Microsoft\Windows HI\CurrentVersion 


建议 关闭 的 服务 如 下 。 

。 Computer Browser: 维护 网 络 上 计算 机 的 最 新 列表 及 提供 这 个 列表 。 

。 Task scheduler: 允许 程序 在 指定 时 间 运 行 。 

。 Messenger: 传输 客户 端 和 服务 器 之 间 的 NET SEND 和 警报 器 服务 消息 。 
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Distributed File System: 局 域 网 管理 共享 文件 ， 不 需要 禁用 。 

Distributed linktracking client: 用 于 局 域 网 更 新 连接 信息 ， 不 需要 禁用 。 

Error reporting service: 禁止 发 送 错误 报告 。 

Microsoft Search: 提供 快速 的 单词 搜索 ， 不 需要 可 禁用 。 
NTLMSecuritysupportprovide: telnet 服务 和 Microsoft Search 用 的 ， 不 需要 禁用 。 
PrintSpooler: 如 果 没 有 打印 机 可 禁用 。 

Remote Registry: 禁止 远程 修改 注册 表 。 

Remote Desktop Help Session Manager: 禁止 远程 协助 。 

Workstation: 如 果 关闭 ， 远 程 NET 命令 列 不 出 用 户 组 。 

把 不 必要 的 服务 都 禁用 ， 尽 管 这 些 不 一 定 能 被 攻击 者 利用 得 上 ， 但 是 按照 安全 规则 和 
标准 来 说 ， 多 余 的 东西 就 没 必 要 开启 ， 减 少 一 份 隐患 。 

总 体 来 说 ,作为 操作 系统 的 安全 管理 员 , 应 该 随时 警惕 系统 、 安 全 和 应 用 程序 的 日 志 ， 
警惕 注册 表 启 动 项 的 变化 、 警 惕 用 户 账 户 等 敏感 的 地 方 是 保证 你 的 系统 安全 的 必要 条 件 。 
经 常备 份 数据 以 应 付 灾难 性 事故 。 用 户 和 权限 的 分 配 应 当 本 着 最 小 权限 原则 ， 即 在 不 影响 
用 户 正常 使 用 的 情况 下 ， 为 其 分 配 最 小 的 权限 。 感 觉 有 时 候 也 是 很 重要 的 ， 系 统 突然 变 慢 
就 要 先 凭 感觉 判断 一 下 是 否 感染 了 病毒 等 。 系 统 安全 是 个 长 期 性 的 工作 ， 要 时 刻 提高 安全 
防范 意识 。 


4.8 安全 工具 


4.8.1 Nbtstat 实用 命令 


Nbtstat 命令 是 一 个 端口 扫描 程序 ， 它 能 扫描 目标 机 或 网 络 的 端口 信息 ， 如 果 端 口 扫描 
程序 报告 端口 139 在 目标 机 或 网 络 上 是 开放 的 , 那么 使 用 Nbtstat 命令 , 可 以 查询 网 络 机 器 
上 的 NetBIOS 信息 。 同 时 Nbtstat 在 进行 安全 检查 时 也 经 常用 到 。 下 面 介绍 一 下 这 个 命令 。 


1.Nbtstat 命令 格式 


Nbtstat[-aRemoteName][-AIP_address][-c][-n][-R][-r][-S][-s][iNTerval] 
参数 说 明 如 下 。 

。-a: 列 出 为 其 主机 名 提供 的 远程 计算 机 名 字 表 。 

。 -A: 列 出 为 其 IP 地 址 提供 的 远程 计算 机 名 字 表 。 

。 -c: 列 出 包括 了 了 P 地 址 的 远程 名 字 高 速 缓存 器 。 

。-n: 列 出 本 地 NetBIOS 名 字 。 

。-T: 列 出 通过 广播 和 WINS 解析 的 名 字 。 

。-R: 消除 和 重新 加 载 远程 高 速 缓存 器 名 字 表 。 

S: 列 出 有 目的 地 IP 地 址 的 会 话 表 。 

。 -s: 列 出 会 话 表 对 话 。 
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2。 


Nbtstat 生成 的 列 标题 的 含义 


Input: 接收 到 的 字 节 数 。 

Output: 发 出 的 字 节 数 。 

In/Out: 是 从 计算 机 《〈 出 站 ) 还 是 从 另 一 个 系统 连接 到 本 地 计算 机 (入 站 )。 

Life: 在 计算 机 消除 名 字 表 高 速 缓存 表 目 前 “ 度 过 ”的 时 间 。 

LocalName: 为 连接 提供 的 本 地 NetBIOS 名 字 。 

RemoteHost: 远程 主机 的 名 字 或 IP 地 址 。 

Type: 一 个 名 字 可 以 具备 两 个 类 型 之 一 。 

unique 或 orgroup 类 型 在 16 个 字符 的 NetBIOS 名 中 ， 最 后 一 个 字 节 往往 有 具体 含 
义 ， 因 为 同一 个 名 可 以 在 同一 台 计算 机 上 出 现 多 次 。 这 表明 该 名 字 的 最 后 一 个 字 节 
被 转换 成 了 十 六 进 制 。 

StateNetBIOS 连接 将 在 下 列 “ 状 态 ”( 任 何 一 个 ) 中 显示 。 


状态 含义 如 下 。 


Accepting: 进入 连接 正在 进行 中 。 

Associated: 连接 的 端点 已 经 建立 ， 计 算 机 已 经 与 卫 地 址 联系 起 来 。 
Connected: 这 是 一 个 好 的 状态 ， 表 明 已 被 连接 到 远程 资源 上 。 
Connecting: 你 的 会 话 试 着 解析 目的 地 资源 的 名 字 一 一 IP 地 址 映射 。 
Disconnected: 计算 机 请 求 断 开 ， 并 等 待 远程 计算 机 作出 这 样 的 反应 。 
Disconnecting: 连接 正在 结束 。 

Idle: 远程 计算 机 在 当前 会 话 中 已 经 打开 ， 但 现在 没有 接受 连接 。 
Inbound: 入 站 会 话 试 着 连接 。 

Listening: 远程 计算 机 可 用 。 

Outbound: 你 的 会 话 正在 建立 TCP 连接 。 

Reconnecting: 如 果 第 一 次 连接 失败 ， 就 会 显示 这 个 状态 ， 表 示 试 着 重新 连接 。 


下 面 是 一 台 机 器 的 nbtstat 反应 样本 : 


C 


:\>nbtstat C A x.x.x.x 


NetBIOS Remote Machine NameT able 
Name Type Status 
DATARAT<00>UNIQUERegistered 
R9LABS<00>GROUPRegistered 
DATARAT<20>UNIQUERegistered 
DATARAT<03>UNIQUERegistered 
GHOST<03>UNIFQUERegi stered 
DATARAT<01>UNIQUERegistered 
MACAddress=00-00-00-00-00-00 


通过 上 表 能 知道 该 计算 机 的 如 下 信息 。 


名 称 编号 类 型 的 使 用 
。 00U 工作 站 服务 
。 01U 邮件 服务 


\ MSBROWSE 01G 主 浏览 器 


00U 

[2BI]U 
IRISMULTICAST[2F]G 
IRISNAMESERVER[33]G 
Forte_$SND800ZA[20]U 
Unique(U) 


Group(G) 
Multihomed(M) 


INTermetGroup() 


第 4 章 Windows Server 2003 的 安全 管理 
109 


邮件 服务 

RAS 服务 器 服务 

NetDDE 服务 

文件 服务 器 服务 

RAS 客户 机 服务 

ExchangeINTerchange 

ExchangeStore 

ExchangeDirectory 

调制 解 调 器 共享 服务 器 服务 

调制 解 调 器 共享 客户 机 服务 

SMS 客户 机 远程 控制 

SMS 管理 远程 控制 工具 

SMS 客户 机 远程 聊天 

SMS 客户 机 远程 传输 

DECPathworksTCP/IP 服务 

DECPathworksTCP/IP 服务 

ExchangeMTA 

ExchangeIMC 

网 络 监控 代理 

网 络 监控 应 用 

邮件 服务 

域名 

域 主 浏览 器 

域 控制 器 

主 浏览 器 

浏览 器 服务 选择 

INTernet 信息 服务 器 

INTernet 信息 服务 器 

LotusNotes 服务 器 

LotusNotes 

LotusNotes 

DCAIrmalan 网 关 服 务 

该 名 字 可 能 只 有 一 个 分 配给 它 的 耳 地 址 。 在 网 络 设 
备 上 ， 一 个 要 注册 的 名 字 可 以 出 现 多 次 , 但 其 后 级 是 
唯一 的 ， 从 而 使 整个 名 字 是 唯一 的 

一 个 正常 的 群 ， 一 个 名 字 可 以 有 很 多 个 IP 地 址 

该 名 字 是 唯一 的 ， 但 由 于 在 同一 台 计 算 机 上 有 多 个 网 
络 接口 , 这 个 配置 允许 注册 。 这 些 地 址 的 最 大 编号 是 25 
这 是 用 来 管理 WinNT 域名 的 组 名 字 的 特殊 配置 
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se。DomainName(DJNT 提供 的 新 内 容 

网 络 入 侵 者 可 以 使 用 nbtstat 获取 目标 机 中 的 信息 。 根据 这 些 信息 ， 网 络 入 侵 者 就 能 攻 
击 相关 的 服务 或 软件 包 ， 随 后 通过 远程 机 收集 可 能 的 用 户 名 。 网 络 登录 包括 两 个 部 分 : 用 
户 名 和 口令 。 一 旦 网 络 入 侵 者 掌握 了 有 效 的 用 户 列表 ， 他 就 能 获得 一 半 的 有 效 登 录 信息 。 
现在 采用 了 nbtstat 命令 ,网 络 入 侵 者 就 能 掌握 从 本 地 注册 到 该 台 机 器 上 的 任何 人 的 登录 名 。 
在 通过 nbtstat 命令 得 到 的 结果 中 ,采用 <03> 识 别 符 的 表 目 是 用 户 名 或 机 器 名 。 另 外 ， 还 可 
以 通过 空 IPC 会 话 和 SID 工具 来 收集 用 户 名 。 

IPC$ 〈 进 程 间 通 信 ) 共享 是 SERVER 2003 主机 上 一 个 标准 的 隐藏 共享 ， 主 要 用 于 服 
务 器 到 服务 器 的 通信 。NT 主机 用 来 互相 连接 并 通过 这 个 共享 获得 各 种 必要 的 信息 。 鉴 于 
在 各 种 操作 系统 中 都 有 很 多 设计 特征 ， 网 络 入 侵 者 已 经 懂得 利用 这 种 特征 来 达到 他 们 的 目 
的 。 通 过 连接 这 个 共享 ， 网 络 入 侵 者 从 技术 上 就 能 够 实现 与 你 的 服务 器 的 有 效 连接 。 通 过 与 
这 个 共享 的 空 连接 ， 网 络 入 侵 者 就 能 够 在 不 需要 提供 任何 身份 证 明 的 情况 下 建立 这 一 连接 。 

要 与 PC$ 共 享 进行 空 连接 ， 网 络 入 侵 者 就 在 命令 提示 符 下 发 出 如 下 命令 : 


c:N\>netuseNN[ 目 标 主机 的 ITP 地 址 ] \ipc$""/user:"" 


如 果 连 接 成 功 ， 网 络 入 侵 者 就 会 有 很 多 事情 可 做 ， 不 只 是 收集 用 户 列表 ， 不 过 他 是 以 
收集 用 户 列表 开始 的 。 


4.8.2 Netview 


如 果 有 了 空 IPC 会 话 ， 网 络 入 侵 者 也 能 获得 网 络 共享 列表 ， 否 则 就 无 法 得 到 。 为 此 ， 
网 络 入 侵 者 希望 了 解 到 在 你 的 机 器 上 有 哪些 可 用 的 网 络 共享 。 为 了 收集 到 这 些 信息 ， 要 采 
用 下 列 这 个 标准 的 netview 命令 : 


c:\>netview\\ [远程 主机 的 TP 地址 ] 
根据 目标 机 的 安全 约束 规则 ， 可 以 拒绝 或 不 拒绝 这 个 列表 。 举 例如 下 : 


C:\>netview\\0.0.0.0 

System error5 has occurred. 

Access is denied. 
C:\>netuse\\0.0.0.0\ipc$""/user:"" 
The command completed successfully. 
C:\>netview\\0.0.0.0 

Shared resource sat\\0.0.0.0 
Sharename type use dascomment 
Accelerator Disk AgeNT Accelerator share for Seagate backup. 
InetpubDisk mircDisk 

NETLOGON Disk Logon server share. 
www_pages Disk 

The command completed successfully. 
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4.8.3 Usersat 


这 个 命令 行 实 用 程序 显示 特定 域 中 各 个 用 户 的 用 户 名 、 全 名 及 最 后 一 次 登录 的 日 期 和 
时 间 。 下 面 是 根据 远程 网 络 通 过 一 个 空 PC 会 话 采用 这 个 工具 进行 的 实际 剪 切 和 粘贴 。 

C:\NTRESKIT>usrstatdomain4 

Usersat\\STUDENT4 

Administrator--logon:TueNov1708:15:251998 

Guest--logon:MonNov1612:54:041998 

IUSR_STUDENT4-INTernetGuestAccouNT-logon:MonNov1615:19:2619 

98 

IWAM_STUDENT4-WebApplicationManageraccouNT-logon:Never 

laurel--logon:Never 

megan--logon:Never 


现在 说 明 一 下 ， 在 真正 的 攻击 发 生前 ， 把 一 个 映射 放 到 通过 #PRE/#DOM 标记 映射 
StudeNT4 机 器 及 其 域 活动 状态 的 Imhosts 文件 中 (下 面 详 述 )。 然 后 把 表 目 预 加 载 到 NetBIOS 
高 速 缓存 器 中 ， 同 时 建立 一 个 空 IPC 会 话 。 这 个 命令 是 根据 域名 发 出 的 。 最 后 ， 该 工具 会 
向 主 域 控制 器 查询 这 个 域 。 


4.8.4 Global 


这 个 命令 行 实 用 程序 显示 远程 服务 器 或 域 上 全 局 群 组 的 成 员 。 如 上 所 述 ， 这 个 实用 程 
序 是 与 Lmhosts/IPC 映射 一 起 使 用 的 。 下 面 是 global 工具 的 实际 俘获 。 在 这 个 例子 中 ,“ 域 
用 户 ” 是 Windows NT 域 中 出 现 的 标准 默认 全 局 群 组 。 在 此 采用 这 个 工具 向 Domainl 查询 
“ 域 用 户 ” 群 组 中 所 有 用 户 的 列表 。 


C:\>global"DomainUsers"domainl 
Bob 

SPUPPYS$ 

BILLYBOBS$ 

Bill 

IUSR_BILLYBOB 

IWAM_ BILLYBOB 

IUSR_SPUPPY 

IWAM SPUPPY 


4.8.5 local 工 具 


local 工具 像 global 工具 一 样 操作 ， 不 同 之 处 是 ， 它 向 机 器 查询 本 地 群 组 的 成 员 ， 而 不 
是 全 局 群 组 的 成 员 。 下 面 是 local 工具 向 服务 器 查询 其 管理 员 群 组 列表 的 例子 。 
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C:\>local "administrators" domainl 
Bob 

DomainAdmins 

Bill 


4.8.6 NetDom 工具 


NetDom 工具 是 一 个 向 服务 器 查询 它 在 域 中 的 角色 及 向 机 器 查询 其 PDC 的 工具 。 另 外 ， 

NetDom 工具 还 与 Lmhosts/IPC 映射 协同 工作 。 下 面 是 该 工具 获得 的 信息 及 其 标准 输出 : 
Queryingdomaininformationoncomputer\\SPUPPY** 
Thecomputer\\SPUPPYisadomaincoNTrollerofDOMAIN4. 
SearchingPDCfordomainDOMRIN4… 


FoundPDC\\SPUPPY 
Thecomputer\\SPUPPYisthePDCofDOMAIN4. 


4.8.7 NetWatch 工具 


NetWatch 工具 是 一 个 向 调用 该 工具 的 用 户 提供 远程 机 上 的 共享 列表 的 工具 。 同样 这 个 
工具 也 能 与 Lmhosts/IPC 映射 一 起 使 用 。 这 个 工具 的 缺点 是 ， 人 们 能 够 利用 该 工具 来 索取 
远程 机 上 的 隐藏 共享 列表 。 


4.8.8 Netusex 


一 旦 攻击 者 掌握 了 远程 共享 列表 ， 他 就 会 试 着 映射 到 远程 共享 。 这 一 攻击 的 命令 结构 
如 下 。 

Netusex 是 一 个 能 映射 到 远程 共享 的 攻击 性 命令 , 它 的 格式 如 下 : 

Cc:\>netusex:\\0.0.0.0\inetpub 


注意 : 这 种 攻击 发 生 的 条 件 是 共享 不 设 密码 或 权限 分 配 为 everyone 时 。 


攻击 都 把 网 络 映射 到 你 的 计算 机 上 ， 入 侵 者 并 不 仅仅 是 把 驱动 器 映射 到 通过 netview 
命令 显示 出 来 的 共享 上 , 还 可 以 入 侵 Windows NT 隐藏 的 管理 共享 Windows NT 为 该 机 器 
上 的 每 一 个 驱动 器 都 创建 耻 C$ 共 享 和 一 个 隐藏 共享 ( 即 一 台 有 C、D 和 EE 驱动 器 的 机 器 会 
有 对 应 的 C$、DS$ 和 ES 的 隐藏 共享 )。 除 此 之 外 ， 还 可 以 直接 映射 到 NT 安装 路 径 的 隐藏 
ADMINS 共 享 (如 果 把 NT 安装 在 C:\winNT 目录 下 ，ADMINS 就 映射 到 该 驱动 器 的 确切 位 
置 )。 网 络 入 侵 者 得 到 一 个 用 户 的 权限 ， 那 么 他 就 可 以 得 到 整个 内 部 网 络 的 权限 ， 所 以 共享 
攻击 也 会 很 危险 。 


Linux 网 络 操作 系统 的 安全 管理 


作为 自由 软件 ，Linux 不 管 是 在 客户 机 端 还 是 在 服务 器 端 都 得 到 了 广泛 的 应 用 。 与 其 
他 操作 系统 相 比 ，Linux 在 许多 方面 都 具有 自己 的 优势 ,管理 上 也 具有 自己 的 特色 。 为 此 ， 
本 章 使 用 较 大 的 篇 幅 ， 较 为 全 面 和 完整 地 介绍 Linux 网 络 操作 系统 的 安全 管理 方法 。 


5.1 系统 安全 


Linux 系统 的 安全 性 是 有 目 共 睹 的 ， 因 为 它 是 一 个 开放 性 的 操作 环境 ， 正 是 因为 代码 
的 开放 性 ， 一 旦 系统 有 漏洞 ， 则 相应 的 补丁 马上 出 台 ， 在 这 一 章 中 将 详细 讲解 基于 Linux 
操作 系统 的 安全 管理 。 


5.1.1 C1/C2 安全 级 设计 框架 


一 般 来 说 ， 系 统 安全 性 总 是 至 少 包含 两 种 类 型 的 安全 性 问题 ， 一 种 问题 是 设计 上 的 
比如 对 于 DOS/Windows， 因 为 它们 的 设计 就 是 非 安 全 的 ， 系统 设计 上 不 提供 任何 保护 的 功 
能 。 另 一 种 问题 是 实现 上 的 ， 就 是 实际 的 程序 设计 有 问题 ， 导 致 系统 存在 缺陷 或 者 后 门 。 
下 面 讲述 操作 系统 的 安全 性 设计 。 

1985 年 ,美国 国防 部 公布 了 一 个 《DoD 可 信 计 算 机 系统 评估 标准 》(Trusted Computer 
System Evaluation Criteria, TCSEC)。 这 个 标准 成 为 一 段 时 间 内 评价 计算 机 系统 的 设计 安全 
性 的 标准 。 虽 然 实际 上 这 个 标准 有 点 大 而 无 用 ， 但 是 对 于 我 们 讨论 基本 问题 是 有 帮助 的 ， 
而 且 确实 有 一 些 系统 〈 当 然 不 是 Linux) 是 按照 这 个 标准 去 实现 的 ， 因 此 先 简单 地 介绍 一 
下 这 个 框架 的 概念 。 

TCSEC (TDI) 将 系统 划分 为 4 组 (division) 7 个 等 级 ， 依 次 是 D; C (C1，C2); B 
(Bl1，B2，B3); A (CA1)， 安 全 级 别 从 左 至 右 逐 步 提高 ， 各 级 之 间 向 下 兼容 ， 也 就 是 说 高 
级 别 必 须 拥有 低级 别 的 一 切 特性 。D 级 的 定义 最 低 ， 简 单 地 说 就 是 没有 任何 安全 性 ， 可 以 
随便 破坏 系统 而 且 绝 不 会 有 限制 。 对 我 们 来 说 ， 比 较 重要 的 是 C 类 的 两 个 级 别 和 B 类 的 两 
个 级 别 。 这 些 级 别 的 简单 描述 如 表 5-1 所 示 。 

事实 上 , C2 类 是 安全 性 系统 的 基本 要 求 , 也 是 绝 大 部 分 系统 的 标准 要 求 , UNIX/Linux 
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系统 也 不 例外 ， 而 真正 意义 上 的 安全 系统 普遍 要 求 达到 B 级 。 不 过 ， 必 须 说 明 的 是 ， 操 作 
系统 通过 B1 级 认证 的 并 不 多 ,而 通过 B2 级 认证 的 更 是 稀少 。 这 是 因为 安全 认证 是 专门 机 
构 做 的 事情 , 经 常会 做 上 几 年 , 因此 几乎 任何 真正 的 商业 系统 都 不 会 有 时 间 去 做 这 种 认证 。 
但 是 即使 不 考虑 证 书 问题 而 是 简单 地 按照 上 面 说 的 规则 ， 你 也 会 发 现 达 到 B2 级 安全 程度 
的 系统 是 极 少见 的 。 其 原因 一 方面 是 这 样 的 操作 系统 设计 起 来 比较 麻烦 ， 另 一 方面 是 ， 这 
样 设计 的 系统 ， 使 用 上 很 不 方便 。 毕 竞 大 部 分 操作 系统 和 硬件 都 要 把 用 户 的 方便 放 在 第 一 
位 。 对 于 易 用 性 和 可 靠 性 的 折 中 的 结果 ， 大 部 分 常用 系统 属于 C2 等 级 或 者 经 过 修改 后 可 
以 达到 C2 等 级 (不 过 可 能 有 个 别 C2 要 求 鉴于 系统 运行 效率 和 易 用 性 的 要 求 被 取消 了 )。 


表 5-1 安全 级 别 描述 简 表 


类 别 等 级 描述 
所 有 的 用 户 都 被 分 组 ; 
i 对 于 每 个 用 户 ， 必 须 登记 后 才能 使 用 系统 
系统 必须 记录 每 个 用 户 的 登记 


系统 必须 对 可 能 破坏 自身 的 操作 发 出 警告 

在 C1 的 基础 上 增加 以 下 几 条 要 求 : 

所 有 的 对 象 都 有 且 仅 有 一 个 物 主 

对 于 每 个 试图 访问 对 象 的 操作 ， 都 必须 检验 权限 ， 对 于 不 符合 权限 要 求 的 访 
问 ， 必 须 予以 拒绝 ; 

有 且 仅 有 物 主 和 物 主 指定 的 用 户 可 以 更 改 权限 ; 

管理 员 可 以 取得 对 象 的 所 有 权 ， 但 不 能 归还 

系统 必须 保证 自身 不 能 被 管理 员 以 外 的 用 户 改变 ; 

系统 必须 有 能 力 对 所 有 的 操作 进行 记录 ， 并 且 只 有 管理 员 和 由 管理 员 指 定 的 
用 户 可 以 访问 该 记录 

在 C2 的 基础 上 增加 以 下 几 条 要 求 : 

不 同 的 组 成 员 不 能 访问 对 方 创建 的 对 象 ， 但 管理 员 许 可 的 除外 ; 

管理 员 不 能 取得 对 象 的 所 有 权 

在 B1 的 基础 上 增加 以 下 几 条 要 求 : 

所 有 的 用 户 都 被 授予 一 个 安全 等 级 ; 

安全 等 级 较 低 的 用 户 不 能 访问 高 等 级 用 户 创建 的 对 象 


C2 


Bl 


B2 


下 面 简单 地 介绍 一 下 C1/C2 的 要 求 。 它 包括 三 个 基本 的 部 分 ; 

(1) 身份 认证 ， 每 个 用 户 都 必须 在 系统 中 标志 其 身份 。 

(2) 系统 的 资源 文件、 内存 等 ) 被 归于 不 同 的 所 有 者 ， 对 这 些 资源 的 访问 必须 验证 
用 户 权限 。 

(3) 系统 要 对 用 户 的 行动 进行 记录 。 

其 中 ， 用 户 和 权限 的 管理 是 至 关 重 要 的 ， 下 面 逐个 来 讨论 这 些 问题 。 


5.1.2 身份 认证 


身份 认证 是 用 户 进入 系统 的 第 一 步 。 在 Linux 设计 框架 里 面 ， 用 户 的 身份 和 权限 是 分 
开 的 ， 每 个 用 户 的 身份 并 不 影响 它 对 于 特定 物件 的 权力 一 一 除了 超级 用 户 以 外 。 这 使 得 用 
户 身份 的 认证 比较 简单 ， 但 是 也 带 来 了 一 定 的 问题 ， 比 如 随便 提升 用 户 权限 的 问题 等 。 在 
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本 节 中 ， 首 先 考虑 身份 认证 系统 。 
身份 认证 系统 最 基本 的 实现 是 Linux login 程序 , 不 过 其 他 各 种 应 用 程序 也 一 样 要 通过 
身份 认证 来 确定 用 户 身 份 。 要 注意 事实 上 身份 认证 仅仅 是 个 程序 实现 ， 决 定 用 户 身份 ， 是 
它 启动 应 用 程序 的 uid, 因此 Linux 下 的 身份 认证 其 实 只 是 判断 用 户 并 且 授予 它 一 个 合法 的 
uid 的 过 程 。 而 授予 uid 的 过 程 却 是 超级 用 户 (或 者 超级 用 户 进程 ) 的 工作 ， 事 实 上 授予 程 
序 只 要 愿意 ， 随 便 怎么 做 都 可 以 ， 因 此 并 没有 完全 统一 的 办 法 来 实现 身份 认证 。 在 Linux 
中 传统 上 采用 一 些 约定 俗 成 的 方法 来 认证 用 户 身份 ， 其 中 包括 最 基本 的 password/shadow 
体系 和 PAM 体系 。 在 这 些 体系 的 基础 上 ， 程 序 可 以 用 系统 调用 来 完成 对 用 户 的 认证 ， 但 
是 ， 如 果 系 统 进程 非 要 抛 开 调用 ， 用 自己 的 一 套 方法 进行 用 户 认 证 ，Linux 也 不 会 禁止 


1，Shadow 身份 认证 体系 


最 基本 的 身份 认证 系统 由 口令 验证 构成 。 用 户 输入 一 个 口令 ， 与 系统 进行 比较 ， 如 果 
合法 ， 就 可 以 进入 系统 。 显 然 ， 最 重要 的 是 验证 口令 与 这 个 用 户 的 预 设 口令 是 否 相同 。 当 
然 ， 口 令 不 是 用 明文 进行 比较 ， 而 是 采用 下 面 的 步骤 。 

(1) 系统 记录 用 户 的 原始 口令 ， 并 将 其 加 密 保 存在 系统 中 ， 口 令 原文 则 被 丢弃 。 

(2) 当 用 户 登 录 系 统 的 时 候 ， 输 入 口令 ， 系 统 用 同样 的 加 密 算法 将 用 户 输入 的 口令 转 
换 成 密 文 。 

(3) 比较 保存 的 密 文 和 现在 得 到 的 密 文 ， 如 果 相 同 ， 允 许 用 户 登录 系统 。 

口令 加 密 可 以 使 用 一 般 的 对 称 密 钥 算法 ,但 是 Linux 普遍 使 用 类 似 MD5 一 类 的 HASH 
方法 。 这 类 算法 是 不 对 称 的 ， 也 就 是 说 从 密 文 〈 或 者 说 校 验 和 ) 是 不 可 能 知道 原文 的 。 

尽管 如 此 ， 如 果 看 到 了 加 密 结果 ， 用 户 仍然 可 以 用 穷 举 法 来 获得 密码 ， 因 为 标准 的 
UNIX 口令 体系 只 有 8 位 。 如 果 考 虑 到 大 部 分 人 喜欢 使 用 小 写字 母 和 很 短 的 密码 的 话 ， 那 
么 ， 穷 举 所 有 的 字符 组 合 构成 试探 口令 ， 然 后 执行 第 (2) 步 ， 对 于 比较 短 的 密码 是 有 可 能 
搜索 到 正确 的 口令 字符 串 的 。 

即使 对 于 长 口令 (8 位 甚至 超过 8 位 ) 也 不 是 不 可 能 穷 举 ， 这 是 因为 许多 人 有 用 特定 
单词 /短语 的 组 合作 为 口令 的 习惯 。 标 准 的 方法 是 构造 一 个 巨大 的 词典 (可 以 来 自生 日 、 姓 
名 和 常用 词汇 表 等 )， 然 后 从 词典 中 选 出 词汇 进行 组 合 形成 试探 密码 ， 并 用 上 述 方法 试验 ， 
直至 成 功 。 

因为 这 种 穷 举 试探 方法 的 存在 ， 所 以 允许 一 般 用 户 看 到 系统 记录 的 密码 密 文 是 危险 
的 。 但 是 对 于 Linux，/etc/passwd 文件 必须 对 于 所 有 用 户 是 可 读 的 ， 因 此 Linux 系统 采用 所 
谓 shadow 的 方法 ， 即 把 口令 认证 文件 分 成 两 个 ， 分 别 是 /etc/passwd 和 /etc/shadow。 
/etc/passwd 文件 包含 了 “公共 ”的 ， 也 就 是 一 般 用 户 可 以 访问 的 内 容 ， 而 /etc/shadow 文件 
包含 了 加 密 的 密 文 ， 其 内 容 只 有 超级 用 户 可 以 访问 。 

这 个 方法 尽管 很 简单 ， 但 是 却 给 某 些 程序 的 身份 认证 带 来 了 不 必要 的 麻烦 。 例 如 邮件 
服务 程序 为 了 安全 性 有 时 候 需 要 使 用 chroot 方式 , 从 而 不 能 直接 访问 /ete 目录 下 面 的 文件 ， 
因此 每 次 增加 用 户 都 需要 修改 系统 。 除 此 之 外 ， 这 种 直接 文件 访问 的 方法 效率 和 可 靠 性 都 
比较 低 ， 还 存在 被 用 缓冲 区 溢出 等 手段 攻破 的 可 能 


2，PAM 身份 认证 体系 
由 于 这 类 问题 ， 现 代 的 Linux 系统 从 Sun 引入 了 PAM 系统 〈 可 插 拔 认证 模块 )。 必 须 
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指出 的 是 ， 只 有 在 程序 编写 时 选择 了 PAM 库 支 持 的 时 候 ， 才 能 使 用 PAM 认证 。 在 这 种 情 
况 下 ， 程 序 调用 PAM 运行 库 ， 而 运行 库 则 根据 当前 的 PAM 系统 管理 设 定 来 进行 具体 的 认 
证 过 程 ， 使 得 整个 认证 过 程 可 以 添加 或 者 删除 特定 的 功能 ， 从 系统 核心 中 分 离 出 来 。 

PAM 认证 部 分 是 由 一 组 模块 构成 的 ， 相 互 可 以 堆 疤 。 堆 芭 的 意思 就 是 说 ,可 以 连续 执 
行 多 个 模块 或 者 让 一 个 模块 多 次 使 用 。 因 此 ， 可 以 在 一 个 PAM 认证 过 程 中 使 用 多 种 认证 
模块 ， 后 面 的 认证 过 程 的 执行 依赖 于 前 面 的 认证 模块 结果 。 另 外 ， 还 可 以 随时 加 入 新 的 模 
块 ， 加 入 之 后 ，PAM 客户 程序 无 须 重新 编译 ， 也 无 须 做 任何 修改 就 可 以 使 用 这 个 新 模块 。 

1) PAM 系统 的 配置 文件 

PAM 系统 的 配置 文件 ， 按 照 具 体 实现 ， 可 以 分 为 /etc/pam.conf 文件 和 /etc/pam.d/ 目 录 
两 种 方式 ，Linux 一 般 使 用 第 二 种 方式 。 这 种 方式 是 ， 在 /etc/pam.d/ 目 录 下 ， 存 放 着 一 些 分 
离 的 配置 文件 ， 每 个 文件 的 文件 名 是 这 个 文件 控制 的 服务 〈telnet、pop 和 ftp 等 )， 而 文件 
的 内 容 是 这 个 服务 的 PAM 配置 。 一 般 来 说 ， 服 务 类 型 就 是 存 取 该 服务 的 程序 的 名 字 ， 而 
不 是 提供 服务 的 程序 。 例 如 下 面 是 用 ls 命令 列 出 的 程序 名 〈 即 服务 ) 列表。 


[wly@ cs pam.d] $1s 


apacheconf kbdrate Printtool Screen 
authconfig kde reboot serviceconf 
authconfig-gtk kisdndock redhat-config-apache smtp 
bindconf kpackage redhat-config-bind sshd 

chfn kppp redhat-config-date su 

chsh kscreensaver redhat-config-network sudo 

cups kuser redhat-config-network-cmd system-auth 
dateconfig kwuftpd redhat-config-network-druid timetool 
firewall-config locale-config redhat-config-printer-gui up2date 

ftp login redhat-config-printer-tui up2date-config 
gdm neat redhat-config-services up2date-nox 
gdmconfig other redhat-config-time v4l-conf 
gnome-lokkit passwd redhat-config-users xdm 
gnorpm-auth pop rexec xscreensaver 
halt poweroff rhn register xserver 
hwbrowser PPP rlogin 

imap printconf-gui rsh 


internet-druid printconf-tui samba 


2) 配置 文件 的 内 容 
每 个 程序 配置 文件 的 内 容 大 致 如 下 使 用 cat 命令 ， 文 件 名 为 login )。 


[wly@ cs pam.d] $cat login 


#%PAM-1.0 

auth required /lib/security/pam securetty.so 

auth required /lib/security/pam stack.so service=system-auth 
auth required /lib/security/pam nologin.so 


account required /lib/security/pam stack.so service=system-auth 


Password 
session 


session 
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required /lib/security/pam stack.so service=system-auth 
required /lib/security/pam stack.so service=system-auth 
optional /lib/security/pam console.so 


其 中 ， 以 # 开 头 的 是 注释 行 ， 其 他 行 的 格式 是 ; 


module-type control-flag module-path arguments 


各 参数 解释 如 下 。 
。 module-type; 说 明 该 行 属于 哪个 模块 ， 或 者 用 在 认证 的 哪个 部 分 ， 取 值 如 表 5-2 


所 示 。 


模块 取 值 


表 5-2 module-type 取 值 表 
描述 


提供 实际 的 认证 过 程 ， 可 能 是 提示 输入 并 检查 口令 ， 设 置 保密 字 等 
负责 检查 并 确认 是 否 可 以 进行 认证 ， 例 如 ， 账 户 是 否 到 期 ， 用 户 此 刻 是 否 可 以 登录 等 


auth 
account 


password 


session 


® control- 


客户 程 


用 来 设置 口令 
一 旦 用 户 认证 通过 ， 此 模块 将 被 用 于 用 户 使 用 其 账户 前 的 初始 化 工作 ， 如 加 载 用 户 根 
目录 或 开通 用 户 的 电子 邮箱 


flag: 用 来 设置 本 行 认证 过 程 成 功 或 者 失败 后 如 何 响 应 。 因为 PAM 是 完整 的 ， 
字 无 法 看 到 PAM 内 部 的 东西 ,只 能 等 待 PAM 完全 执行 之 后 查看 最 终 的 结果 。 


为 此 ， 对 于 多 模块 认证 ， 必 须 小 心地 设置 认证 响应 ， 它 的 取 值 如 表 5-3 所 示 。 


表 5-3 control-flag 取 值 表 


取 值 描述 
表示 本 模块 必须 返回 成 功 才能 通过 认证 ， 但 是 若 该 模块 返回 失败 ， 其 结果 也 不 会 立即 
required 通知 用 户 ， 而 是 要 等 到 同一 stack 中 的 所 有 模块 全 部 执行 完毕 再 将 失败 结果 返回 给 应 
用 程序 ， 这 样 做 是 为 了 不 让 用 户 知 道 被 哪个 模块 拒绝 
a 和 required 类 似 , 区 别 在 于 如 果 模 块 对 用 户 的 验证 失败 , PAM 马上 返回 一 个 错误 信息 ， 
把 控制 权 交 回应 用 程序 ， 不 再 执行 其 他 模块 进行 验证 
表示 如 果 一 个 用 户 通 过 这 个 模块 的 验证 , PAM 结构 就 立刻 返回 验证 成 功 信息 , 把 控制 
sufficient ”| 权 交 回应 用 程序 ， 后 面 的 层 合 模块 即使 使 用 requisite 或 者 required 控制 标志 ， 也 不 再 
执行 ， 如 果 验 证 失败 ， 这 个 模块 将 被 忽略 而 执行 下 一 个 验证 模块 
本 表示 即使 本 行 指定 的 模块 验证 失败 ， 也 允许 用 户 享受 应 用 程序 提供 的 服务 。 使 用 这 个 


示 志 ，PAM 框架 会 忽略 这 个 模块 产生 的 验证 错误 ， 继 续 顺 序 执行 下 一 层 共 模块 


。 module-path; 用 来 指明 本 模块 对 应 的 程序 文件 的 路 径 名 ， 一 般 采 用 绝对 路 径 ， 如 果 
没有 给 出 绝对 路 径 ， 默 认 该 文件 在 目录 /usr/lib/security 下 。 
。 arguments: 用 来 传递 给 该 模块 的 参数 。 一 般 来 说 每 个 模块 的 参数 都 不 相同 ， 可 以 由 
该 模块 的 开发 者 自己 定义 ， 但 是 也 有 几 个 共同 的 参数 ， 如 表 5-4 所 示 。 
由 于 模块 在 不 断 地 增加 和 更 新 ， 也 可 以 由 用 户 自行 设计 ， 因 此 没有 完整 的 说 明 。 但 是 
在 通常 情况 下 ，Linux 中 总 是 有 几 个 常用 模块 ， 如 表 5-5 所 示 。 
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表 5-4 arguments 共同 参数 表 
参数 描 述 
debug 该 模块 应 当 用 syslog0 将 调试 信息 写 入 系统 日 志文 件 中 
no_warn 表明 该 模块 不 应 把 警告 信息 发 送 给 应 用 程序 
表明 该 模块 不 能 提示 用 户 输入 密码 , 而 应 使 用 前 一 个 模块 从 用 户 那里 得 到 的 
use first_pass 密码 
表明 该 模块 首先 应 当 使 用 前 一 个 模块 从 用 户 那里 得 到 的 密码 ,如果 该 密码 验 
i 证 通 不 过 ， 再 提示 用 户 输入 新 的 密码 
use_mapped_pass 该 模块 不 能 提示 用 户 输入 密码 ， 而 是 使 用 映射 过 的 密码 
允许 该 模块 显示 用 户 的 账户 名 等 信息 ,一般 只 能 在 安全 的 环境 下 使 用 , 因为 
SpO 泄漏 用 户 名 会 对 安全 造成 一 定 程度 的 威胁 
表 5-5 Linux 常用 模块 表 
名 称 描 述 
实现 一 个 PAM 堆栈 ， 简 单 地 说 是 调用 另 一 个 完整 的 PAM 配置 ， 这 种 调用 
利用 service=xxx 参数 实现 ，xxx 是 /etc/pam.d 中 的 PAM 配置 模块 名 字 。 例 
pam_stack 如 ,在 前 面 的 例子 中 ，/lib/security/pam _ stack.so service=system-auth 表示 要 
引用 /ete/pam.d/system-auth 配置 文件 ， 而 pam_stack 行 的 成 功 或 失败 将 决定 
于 整个 /etc/pam.d/system-auth 的 成 功 或 失败 
pam_access 利用 /etc/security/access.conf 文件 对 超级 用 户 登录 进行 控制 
pam_chroot 提供 chroot 功能 
对 密码 的 强度 进行 一 定 的 检查 ， 使 用 库 文件 libcrack 和 字典 文件 
Famacklib /usr/lib/crack-lib_dict 
pam_deny 总 是 无 条 件 地 使 认证 失败 
pam_env 设置 或 取消 环境 变量 ， 配 置 文件 为 /etc/security/pam_env.conf 
pam _filter 对 输入 输出 流 进行 过 滤 
pam_ftp.so 对 匿名 ftp 用 户 进行 认证 
pam_group 当 用 户 在 指定 的 终端 上 时 赋予 该 用 户 相应 的 组 权限 
pam_issue 在 提示 用 户 输入 用 户 名 之 前 显示 /etc/issue 文件 的 内 容 
pam_krb4 对 用 户 密码 进行 Kerberos 认证 
pam _lastlog 在 用 户 登 录 成 功 后 显示 用 户 上 次 登录 的 信息 ， 并 维护 /var/log/lastlog 文件 
pam_limits 利用 /etc/security/limits.conf 限制 用 户 会 话 所 能 使 用 的 系统 资源 
pam_listfile 根据 指定 的 某 个 文件 决定 是 否 允 许 或 禁止 提供 服务 
pam_mail 检查 用 户 的 邮箱 中 是 否 有 新 邮件 
pam_mkhomedir 为 用 户 建立 主 目录 ， 模 板 目录 在 /etc/skel/ 
pam_motd 显示 /etc/motd 文件 的 内 容 
pam_nologin 根据 /etc/nologin 文件 的 存在 与 否 来 决定 是 否 允 许 用 户 认 证 
pam_permit 总 是 无 条 件 地 使 认证 成 功 
pam_pwdb 使 用 Password Database 进行 认证 ， 配 置 文件 在 /etc/pwdb.conf 
pam_radius 提供 远程 身份 验证 拨 入 用 户 服务 (RADIUS) 的 认证 
pam_rhosts_auth 利用 文件 ~/.rhosts 和 /etc/hosts.equiv 对 用 户 进行 认证 
pam_rootok 检查 用 户 是 否 为 超级 用 户 ， 如 果 是 超级 用 户 则 无 条 件 地 通过 认证 
securetty 提供 标准 的 UNIX securetty 检查 ， 检 查 方式 的 配置 文件 为 /etc/securetty 
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续 表 
名 称 描 述 
提供 基于 时 间 的 控制 ， 比 如 限制 用 户 只 能 在 某 个 时 间 段 内 才能 登录 ， 配 置 

re 文件 在 /etc/security/time.conf 
pam unix 进行 标准 的 UNIX 认证 (使 用 /etc/passwd 和 /etc/shadow) 
pam userdb 利用 Berkeley DB 数据 库 来 检查 用 户 /密码 
pam warn 利用 syslog 记录 一 条 警告 信息 
pam wheel 只 允许 wheel 组 的 用 户 使 用 su 命令 切换 到 超级 用 户 


按照 上 面 所 说 的 ， 查 看 刚才 的 login 配置 文件 ， 可 以 看 到 ， 诸 如 限制 超级 用 户 登录 和 
使 用 nologin 文件 等 都 是 用 模块 实现 的 ， 因 此 可 以 很 容易 地 增加 和 撤销 。 相 应 地 ， 对 于 这 
些 功能 的 控制 ， 都 需要 修改 这 个 配置 文件 。 

PAM 中 定义 了 一 个 特殊 的 服务 类 型 OTHER， 它 代表 除了 已 经 有 了 控制 文件 的 服务 之 
外 的 所 有 服务 。 设 置 这 个 服务 类 型 对 应 的 PAM 文件 ， 将 会 直接 对 所 有 未 控制 服务 生效 。 


5.1.3 ”用 户 权限 和 超级 用 户 


Linux 的 基本 用 户 隔离 和 存 取 授权 功能 是 用 文件 权限 实现 的 ， 使 用 标准 的 UNIX 文件 
权限 体系 ， 每 个 文件 有 一 个 属 主 用 户 (user) 和 一 个 属 主 程序 组 (group)， 除 此 之 外 的 用 
户 都 作为 其 他 用 户 (other)。 这 样 ， 每 个 文件 存在 三 种 存 取 权 限 : 用 户 存 取 权限 、 组 存 取 
权限 和 其 他 用 户 的 存 取 权 限 。 


1, 文件 属性 标志 drwx 及 用 户 权限 


另外 ， 还 有 一 个 属性 字 用 于 标志 文件 属性 ， 包 括 设 备 、 文 件 、 目 录 或 是 链接 。 每 个 存 
取 权 限 由 读 、 写 、 执 行 和 用 于 执行 文件 的 特殊 标志 构成 ， 例 如 ; 


[root@ cs root]#1ls -1 
total 11482 


Grwxrwxr-x 4 root wheel 792 Feb 5 2002 Darwin4.0-Linux 
-rw-r--r-- 1 wly wly 10799692 Jul 21 08:52 Darwin4.0-Linux.tar.gz 
Grwx------— 3 root root 208 Mar 15 2002 Desktop 

和 和 4 root root 60976 May 27 09:19mbox 

dm 5 root bin 240 Feb 17 2002 ncftpd-2.7.1 


EWE==== 全 root root 887285 Feb 25 2002 ncftpd-2.7.1-linux- 
x86-ex-port.tar.gz 
=XW=r=—=XY== 1 root root 848 Jul 2 17:51 wget-log 


最 左面 的 一 位 是 文件 属性 ， 然 后 每 三 个 字符 为 一 组 ， 分 别 代表 用 户 、 组 和 其 他 用 户 的 
存 取 权限 。 例 如 : 


Grwxrwxr-x 4 root wheel 792 Feb 5 2002 Darwin4.0-Linux 


第 一 位 字符 为 4， 表 示 这 是 一 个 目录 ， 然 后 头 三 个 字符 rwx 表示 用 户 的 拥有 者 可 以 对 
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它 进行 读 、 写 和 执行 的 操作 ，- 表示 均 不 可 以 。 同 样 ， 同 组 用 户 也 拥有 读 写 和 执行 权限 ， 
而 其 他 用 户 只 能 读 取 或 者 执行 ， 其 中 的 减 号 表示 写 入 位 没有 设置 ， 因 此 其 他 用 户 不 能 写 入 
这 个 文件 。 接 下 来 ， 这 个 目录 的 所 有 者 是 root， 而 拥有 这 个 目录 的 程序 组 是 wheel。 后 者 意 
味 着 ， 所 有 属于 wheel 用 户 组 的 用 户 都 自动 具有 对 这 个 文件 的 组 访问 权限 : 读 、 写 和 执行 。 
这 些 权 限 只 能 被 文件 的 属 主 (user) 修改 。 

用 户 权 限 也 可 以 用 数字 表示 ， 即 把 每 组 的 三 个 权限 位 翻译 成 数字 ， r=4，w=2，x=1， 然 
后 进行 按 位 加 例如 ，r-x 为 5)， 最 后 将 三 个 数 连 到 一 起 。 如 上 例 中 的 ncftpd-2.7.1- 
linux-x86-export.tar.gz 文件 的 权限 数值 就 是 0644。 


2， 超 级 用 户 权 限 


权限 体系 有 一 个 基本 的 例外 ， 即 超级 用 户 root， 超 级 用 户 就 是 uid=0 的 用 户 。 一 般 情 
况 下 这 个 用 户 名 字 被 称 为 root， 不 过 实际 上 也 可 以 是 任何 其 他 名 字 ， 只 要 设置 其 uid 为 0。 
作为 系统 的 管理 者 ，root 可 以 访问 任何 文件 并 对 其 读 写 。 而 实际 中 讨论 的 攻破 一 个 
UNIX/Linux 系统 ， 最 主要 的 任务 就 是 获得 root 权限 ， 比 如 拿 到 root 密码 或 者 获取 一 个 具 
有 root 权限 的 shell。 

总 的 来 说 ， 这 个 权限 体系 是 比较 简单 的 ， 不 像 Netware 之 类 的 文件 服务 器 操作 系统 那 
样 做 到 了 精确 的 用 户 个 人 访问 控制 ,但 在 实际 应 用 中 也 问题 不 大 。 不 过 ，UNIX/Linux 操作 
系统 实际 设计 的 时 候 , 为 了 完成 某 些 操作 , 增加 了 几 个 特殊 的 功能 , 其 中 最 重要 的 是 setuid 
和 setgid， 这 是 用 户 权 限 体系 中 主要 的 问题 。 

setuid、setgid 和 用 户 进程 的 权限 有 关 。 如 上 所 述 , 每 个 文件 有 定义 好 的 用 户 存 取 权限 ， 
但 是 用 户 只 能 通过 程序 存 取 相 应 文件 ， 因 此 权限 体系 实际 上 是 和 用 户 进程 打交道 。 
UNIX/Linux 为 每 个 用 户 进程 分 配 一 个 用 户 ID 和 一 个 组 ID， 进 程 需要 访问 文件 的 时 候 ， 就 
按照 这 个 用 户 ID 和 组 ID 来 使 用 权限 功能 。 正 常情 况 下 ， 这 个 用 户 ID 和 组 ID 会 被 分 配 成 
执行 对 应 命令 的 用 户 的 uid 和 gid， 从 而 维持 权限 体系 的 正常 运转 。 

问题 是 有 些 命令 必须 能 够 绕 过 正常 的 权限 体系 才能 执行 。 例 如 ，passwd 命令 可 以 让 用 
户 修改 自己 的 密码 。 但 是 密码 密 文 是 存放 在 /etc/shadow 文件 中 ， 这 个 文件 只 允许 超级 用 户 
读 写 , 这样 passwd 命令 必须 无 论 谁 来 执行 都 自动 具有 root 的 uid。 为 了 解决 这 类 问题 , UNIX 
使 用 了 setuid (suid) 机制。 


3，suid 机 制 


suid 机 制 就 是 在 权限 组 中 增加 suid/sgid 位 ， 凡 是 suid 位 被 置 1 的 文件 ， 当 它 被 执行 的 
时 候 ， 自 动 获得 文件 属 主 的 uid; 同样 ，sgid 被 置 位 ， 也 能 自动 获得 文件 属 组 的 gid。 不 过 
实际 上 用 sgid 的 很 少 ， 主 要 还 是 用 suid。 

由 于 suid 的 这 个 特性 ， 在 实用 中 很 容易 带 来 安全 性 问题 ， 尤 其 是 如 果 setuid 程序 被 溢 
出 ( 见 下 节 ), 或 者 利用 环境 重 定义 技术 破解 就 很 可 能 导致 被 非法 用 户 得 到 一 个 具有 root uid 
的 进程 。 当 这 个 进程 是 一 个 终端 shell 的 时 候 ， 用 户 就 得 到 了 系统 的 完全 控制 权 ， 即 系统 被 
攻破 了 。 相 应 地 ， 如 果 攻 击 者 侵入 了 系统 ， 也 许 会 留 下 一 个 具有 root suid 的 shell 程序 ， 作 
为 以 后 控制 系统 的 入 口 (虽然 这 个 办 法 现在 不 那么 常用 了 )。 

为 了 安全 ， 应 尽量 少 用 suid 功能 ， 并 且 定 期 检查 (可 以 使 用 专门 工具 ) 系统 上 有 没有 
来 源 不 明 的 suid 程序 ， 特别 是 绝对 不 要 写 一 个 suid 的 shell 脚本 ， 这 是 一 种 灾难 性 的 行为 。 
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超级 用 户 和 suid/sgid 机 制 的 存在 ， 是 UNIX/Linux 体系 设计 上 的 一 个 弱点 ， 这 可 以 用 
一 些 手段 加 以 弥补 ， 例 如 后 面 提 到 的 LIDS 系统 。 


5.1.4 ”存储 空间 安全 


这 里 说 的 存储 空间 安全 ， 指 的 是 内 存 及 外 存储 设备 的 安全 ， 包 括 越过 文件 系统 直接 访 
问 裸 设备 的 保护 。 其 中 ， 最 重要 的 是 内 存 安全 性 。 


1， 内 存 安全 性 


内 存 安全 性 可 以 分 成 两 个 部 分 ， 一 个 是 禁止 内 存 中 的 重要 数据 被 突 探 到 ， 另 一 个 是 保 
证 进程 不 去 执行 非法 指令 。 特 别 是 后 者 ， 是 多 种 攻击 与 保护 技术 的 核心 内 容 。 

由 于 Linux 是 个 多 用 户 多 任务 操作 系统 ， 每 个 进程 都 会 享有 自己 的 地 址 空间 ， 一 个 进 
程 不 能 访问 另 一 个 进程 的 地 址 空间 , 而 属于 操作 系统 的 地 址 空间 是 受 保护 的 , 所 以 原则 上 
每 个 进程 只 能 看 到 属于 自己 的 和 公用 的 内 存 数据 。 

但 是 任何 功能 实行 起 来 都 会 有 例外 。 每 个 进程 都 可 能 要 分 配 动态 内 存 ， 并 且 在 申请 到 
的 内 存 中 写 入 自己 的 数据 。 当 进程 退出 的 时 候 ， 这 些 内 存 被 释放 ， 但 是 内 存 中 仍然 会 留 着 
进程 的 临时 数据 。 只 要 这 些 内 存 不 是 马上 被 下 一 个 进程 使 用 ， 下 一 个 进程 是 看 不 见 这 些 数 
据 的 。 因 此 为 了 避免 出 现 影子 ， 操 作 系统 可 以 设计 为 每 当 给 进程 分 配 内 存 的 时 候 ， 都 首先 
将 分 配 的 内 存 清 0, 释放 的 时 候 也 清 0。 这 样 , 似乎 就 堵 死 了 用 动态 内 存 泄露 数据 的 可 能 性 。 

问题 在 于 ， 为 了 调试 的 方便 ，UNIX 系统 使 用 了 一 个 名 叫 core dumped 的 功能 。 简 单 地 
说 ， 当 发 生 像 访问 空 指针 、 指 针 越界 、 试 图 写 入 保护 数据 之 类 进程 访问 不 属于 自己 的 段 地 
址 的 数据 时 ，UNIX 会 直接 中 止 这 个 程序 。 为 了 让 程序 员 可 以 分 析 和 调试 定位 这 种 错误 
操作 系统 会 把 事故 现场 (出 错时 分 配给 进程 的 内 存 数据 复制 到 一 个 名 叫 core 的 文件 中 ， 
保存 在 当前 路 径 下 ， 并 且 返 回 一 个 core dumped 信息 。 这 样 ， 如 果 事 故 现场 中 包含 了 一 些 
敏感 的 信息 ， 就 可 能 导致 灾难 。 例 如 ， 最 早 的 ftpd 程序 就 存在 这 类 问题 ， 使 得 用 户 可 以 从 
core 文件 中 获得 shadow 文件 的 内 容 。 

Linux 继承 了 这 种 core dumped 机 制 ,不 过 为 了 保险 ,管理 员 可 以 用 ulimit 命令 选择 限 
制 core 文件 的 大 小 。 

命令 格式 如 下 。 


ulimit -c [size] 
如 果 限 制 为 0， 就 禁止 了 core 文件 的 产生 ， 例 如 : 

ulimit -c 0 

当然 ， 普 通用 户 也 可 以 限制 自己 的 进程 不 产生 core 文件 ， 用 如 下 命令 ; 
limit coredumpsize 0 


现在 来 考虑 内 存 安全 的 另 一 个 也 是 更 严重 的 问题 一 一 缓冲 区 溢出 的 问题 。 简 单 地 说 ， 
缓冲 区 溢出 就 是 利用 程序 的 漏洞 ， 用 某 些 恶 意 代码 覆盖 程序 代码 ， 从 而 攻击 系统 。 称 为 组 
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冲 区 游 出 ， 主 要 原因 是 这 种 技术 都 是 利用 向 缓冲 区 中 写 入 过 量 数 据 的 方式 完成 的 。 这 个 
技术 的 原理 可 以 通过 下 面 的 例子 来 理解 。 

通过 往 程 序 的 缓冲 区 写 超出 其 长 度 的 内 容 , 造成 缓冲 区 的 溢出 , 从 而 破坏 程序 的 堆栈 ， 
使 程序 转 而 执行 其 他 指令 ， 以 达到 攻击 的 目的 。 造 成 缓冲 区 溢出 的 原因 是 程序 中 没有 仔 
细 检 查 用 户 输入 的 参数 。 例 如 下 面 的 程序 代码 : 


void function(char *Str) { 
char buffer[20]; 

strcpy (buffer, str); 

} 


注意 到 代码 中 buffer 是 个 定 长 数组 ， 而 str 的 长 度 是 未 知 的 。strepy 直接 把 str 中 的 
内 容 复 制 到 buffer 中 ， 由 于 C 语言 编译 器 并 不 会 进行 数组 边界 检查 ， 如 果 str 的 实际 长 度 
大 于 20， 那么 strcpy 复制 了 20 个 字符 后 ， 并 不 会 就 此 停 下 来 ， 而 是 继续 复制 直到 str 被 全 
部 复制 。 当 然 ， 除 了 前 20 个 字符 在 buffer 中 外 ， 其 他 的 内 容 会 继续 存 入 后 续 内 存 地 址 ， 从 
而 修改 了 其 他 部 分 的 数据 /代码 。 如 果 在 buffer 之 后 是 一 段 执行 代码 ， 则 程序 就 被 修改 了 。 
如 strcat、sprintf、vsprintf、gets 和 scanf 等 涉及 字符 串 传送 的 函数 ， 都 会 有 这 个 问题 。 

正常 情况 下 ， 这 种 缓冲 区 溢出 只 会 造成 一 个 segmentation fault， 然 后 是 core dumped。 不 
过 ,精心 设计 的 溢出 程序 会 在 缓冲 区 溢出 后 让 系统 执行 一 些 特定 的 代码 , 特别 是 会 产生 一 个 
shell， 这 样 ， 如 果 被 溢出 的 程序 是 个 root 权限 的 程序 的 话 ， 那 么 系统 就 被 攻破 了 。 


2， 基 本 的 溢出 攻击 方式 


基本 的 溢出 攻击 方式 按照 其 使 用 的 程序 空间 类 型 可 以 分 为 如 下 三 种 。 

1) 堆栈 溢出 

堆栈 溢出 是 最 重要 的 缓冲 区 溢出 攻击 手段 ， 它 的 思路 是 利用 堆栈 返回 地 址 。 熟 悉 汇 编 
语言 的 读者 会 知道 ， 堆 栈 是 一 段 内 存 空间 ， 一 个 程序 执行 的 时 候 ， 内 存 可 以 大 概 地 分 成 代 
码 、 数 据 段 和 堆栈 段 。 


数据 段 


堆栈 段 〈 内 存 高 端 ) 


数据 段 存放 着 程序 的 静态 数据 ， 而 动态 数据 则 从 堆栈 中 分 配 ， 分 配 过 程 是 从 低 端 到 高 
端 。 另 一 方面 ， 函 数 使 用 的 参数 和 返回 地 址 则 用 堆栈 高 端 存放 。 当 发 出 一 个 函数 调用 的 时 
候 ， 计 算 机 做 如 下 操作 :首先 把 参数 压 入 堆栈 ， 然 后 保存 指令 寄存 器 〈 卫 ) 中 的 内 容 作 为 
返回 地 址 (RET); 第 三 个 放 入 堆栈 的 是 基 址 寄存 器 (FP); 然后 把 当前 的 栈 指针 (SP) 复 
制 到 FP， 作 为 新 的 基地 址 ;最 后 为 局 部 变量 留 出 一 定 空间 ， 把 SP 减 去 适当 的 数值 。 而 
函数 返回 的 时 候 , 简单 地 释放 局 部 变量 , 然后 从 堆栈 中 取出 返回 地 址 , 用 ret 命令 回 到 调用 点 。 
这 样 ， 因 为 缓冲 区 是 在 堆栈 底部 ， 洪 出 程序 只 要 溢出 足够 多 的 数据 ， 就 修改 位 于 内 存 高 端 
的 堆栈 返回 地 址 ， 从 而 ， 当 函数 返回 的 时 候 ， 就 会 跑 到 溢出 者 设置 的 返回 点 。 假 如 那里 放 着 执 
行 有 shell 命令 的 代码 (因为 这 个 地 址 是 由 溢出 者 设计 的 ， 所 以 可 以 选择 让 它 指向 某 个 
缓冲 区 ， 其 中 存放 了 溢出 者 准备 的 代码 )， 攻 击 者 就 拿 到 了 一 个 shell。 如 果 这 个 进程 是 个 
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root 进程 ， 攻 击 就 成 功 了 。 

2) 函数 指针 

C 语言 可 以 定义 函数 指针 ， 执 行 某 个 地 址 上 的 任何 函数 。 但 是 这 个 指针 可 以 指向 任何 
地 址 空间 ， 记 以 攻击 者 可 以 用 缓冲 区 溢出 的 办 法 改写 指针 内 容 ， 指 向 自己 准备 的 shell 代 
码 。 当 程序 执行 到 调用 函数 指针 部 分 的 时 候 ， 攻 击 者 就 取得 了 控制 权 。 
3) 长 跳 转 点 
setjmp/longjmp 是 一 个 C 语言 的 非 结构 化 跳 转 系统 ， 人 允许 程序 员 设 置 一 个 跳 转 点 ， 然 
后 可 以 从 任何 函数 内 部 直接 跳 入 这 个 跳 转 点 。 这 个 功能 的 存在 主要 是 为 了 处 理 程序 事故 ( 例 
如 处 理 紧 急 信号 )。 然 而 ， 跳 转 点 可 以 指向 任何 地 址 ， 如 果 setimp 设置 的 跳 转 点 被 攻击 者 
修改 ， 当 激活 longjmp 函数 的 时 候 ， 就 会 跳 向 攻击 者 设置 的 地 址 。 


3， 溢出 攻击 解决 方案 


从 理论 上 说 ， 让 数据 段 不 可 执行 就 可 以 避免 绝 大 部 分 缓冲 区 溢出 的 发 生 ， 然 而 这 是 不 
现实 的 ， 因 为 现代 的 编译 器 为 了 效率 ， 不 可 避免 地 要 把 部 分 可 执行 代码 动态 地 放 入 数据 段 
中 , 简单 的 禁止 数据 段 执行 就 会 导致 这 样 的 程序 无 法 运行 , 所 以 只 能 考虑 一 些 折 中 的 办 法 。 

1) 补丁 

最 常用 的 操作 系统 补丁 是 设置 堆栈 段 为 不 可 执行 ， 由 于 没有 多 少 程序 会 把 代码 放 入 堆 
栈 中 ， 这 样 的 方法 基本 上 是 安全 的 。 但 是 有 一 个 重要 的 例外 ， 即 在 Linux 中 ， 向 进程 发 送 
信号 的 代码 是 被 放 入 堆栈 中 的 ， 这 是 操作 系统 设计 的 问题 。 对 应 的 堆栈 禁止 执行 的 补丁 被 
设置 为 发 送信 号 时 暂时 允许 堆栈 执行 ， 幸 好 这 一 般 不 会 带 来 重要 的 安全 问题 。 这 个 补丁 是 
Sun 开发 的 ， 不 过 它 并 没有 被 内 核 开 发 组 直接 使 用 ， 需 要 自己 下 载 这 个 补丁 并 重新 编译 内 
核 。 另 外 ， 有 报道 说 gcc 的 某 些 功能 在 这 个 补丁 作用 下 将 会 失效 。 

遗憾 的 是 ， 这 个 补丁 对 于 不 使 用 局 部 自动 变量 的 溢出 攻击 没有 什么 效果 ， 攻 击 者 可 以 
将 代码 置 入 堆 或 者 静态 数据 中 ， 对 这 类 攻击 ， 还 需要 其 他 的 应 付 措施 。 

2) 编写 程序 

对 于 一 般 意义 的 溢出 攻击 ， 事 实 上 只 有 一 个 可 靠 的 办 法 ， 就 是 编写 的 程序 不 会 溢出 ， 
例如 在 copy 字符 串 之 前 首先 检查 字符 串 的 长 度 , 运行 期 动态 检查 数组 边界 等 。 不 过 ， 即 使 
你 做 了 这 些 ， 仍 然 不 能 保证 系统 库 函数 中 不 存在 可 能 被 溢出 的 代码 ， 特 别 是 libc 和 glibc。 
一 旦 这 些 库 被 攻破 ， 后 果 通 常 是 灾难 性 的 〈 例 如 ， 不 久 以 前 的 printf 格式 化 字符 串 漏洞 )。 
幸好 ， 一 般 当 发 现 这 些 漏洞 之 后 ， 很 快 就 会 有 对 应 的 补丁 程序 发 行 。 

总 之 ， 缓 冲 区 溢出 是 所 有 安全 问题 中 最 重要 也 最 危险 的 攻击 手段 ， 几乎 所 有 “致命 的 ” 
安全 漏洞 都 和 它 有 关 。 相 应 地 ， 许 多 程序 因为 有 容易 被 溢出 的 名 声 ， 被 安全 性 分 析 看 成 是 
麻烦 的 根源 ， 这 些 程序 如 下 。 

。bind，DNS 服务 程序 ， 这 是 最 著名 的 易 遭 攻击 的 程序 。 

。 wu-ftpd; ftp 服务 程序 。 

。 1pc 服务 程序 ，Sun RPC 服务 程序 ， 如 rpc.statd 等 。 

另外 ， 诸 如 apache、sendmail 等 程序 因为 过 于 复杂 ， 也 容易 出 现 缓冲 区 溢出 漏洞 。 

3) 提升 安全 级 

解决 缓冲 区 溢出 的 另 一 个 方案 ， 是 前 面 讲 的 解决 超级 用 户 弱 点 的 办 法 ， 即 通过 把 系统 
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安全 性 提升 到 B 级 ， 使 得 即使 攻击 者 溢出 成 功 ， 也 拿 不 到 shell 或 者 不 能 执行 任何 命令 ， 
从 而 减少 被 攻破 的 可 能 性 。 具 体 的 细节 实现 在 5.1.6 节 中 介绍 。 

4) 利用 文件 系统 和 磁盘 分 区 

另外 一 些 安全 性 问题 与 文件 系统 及 磁盘 有 关 。Linux 定义 了 “ 单 用 户 ” 模 式 ， 使 得 用 
户 不 输入 超级 用 户口 令 就 可 以 直接 以 单 用 户 方式 启动 系统 。 当 然 ， 解 决 方法 是 在 lilo 中 使 
用 restrict 选项 和 password。 不 过 ， 由 于 ext2 文件 系统 是 自由 的 ， 总 还 存在 用 软盘 启动 系 
统 并 直接 用 命令 mount 根 文件 系统 的 可 能 ， 这 个 问题 是 没有 解决 办 法 的 ， 毕 竞 ， 没 有 物理 
安全 性 就 没有 一 切 。 

UNIX/Linux 系统 有 个 著名 的 问题 一 一 链接 。 链接 就 是 文件 可 以 有 多 个 名 字 。 这 本 身 没 
有 什么 问题 ， 不 过 在 UNIX/Linux 系统 中 ， 硬 链接 是 可 以 越过 原来 的 文件 名 直接 存 取 文 件 
的 ， 所 以 考虑 下 面 这 种 情况 : 某 个 超级 用 户 进程 使 用 filel 作为 临时 存 取 文件 ， 然 后 某 个 用 
户 把 某 个 重要 文件 链接 到 了 这 个 名 字 下 面 ， 结 果 ， 当 超级 用 户 进程 运行 的 时 候 ， 系 统 就 被 
破坏 了 。 这 最 容易 发 生 在 /tmp 目录 下 ， 因 为 系统 管理 进程 会 不 断 地 写 这 个 目录 。 

解决 的 方法 是 将 普通 用 户 可 写 的 目录 /文件 放 到 独立 的 分 区 中 。 因为 硬 链接 是 不 能 跨越 
文件 系统 边界 的 ， 这 样 就 可 以 避免 上 述 的 问题 发 生 ， 通 常 /mp、/var 和 /home 等 都 会 被 做 成 
独立 的 文件 系统 。 

5) chroot 

最 后 介绍 一 个 解决 文件 安全 的 “最 终 ” 解 决 方案 ，chroot。 这 个 技术 可 以 让 用 户 程序 
把 某 个 目录 当成 根 目录 ， 从 而 无 论 怎 样 切换 也 不 能 越 出 这 个 虚拟 的 根 目录 ， 也 就 不 会 危害 
其 他 目录 下 面 的 文件 。 这 个 方法 是 可 靠 的 ， 比 如 ftp 程序 在 处 理 匿 名 用 户 访问 的 时 候 就 会 
使 用 这 种 办 法 把 匿名 用 户 锁 在 ftp 目录 中 。 遗 憾 的 是 ， 这 种 办 法 因为 用 户 不 能 越 出 虚拟 根 ， 
也 就 不 能 访问 其 他 目录 下 的 文件 ， 从 而 对 任何 需要 访问 的 文件 都 必须 把 它 复制 到 这 个 虚拟 
根 下 面 ， 使 得 存 取 变 得 非常 烦琐 ， 因 此 只 用 在 少数 场合 。 


5.1.5 数据 的 加 密 


为 什么 要 对 数据 进行 加 密 ? 部 分 原因 是 交换 数据 的 需要 。 如 果 要 通过 某 种 不 可 信 的 
方式 (例如 网 络 、 磁 带 等 ) 交换 数据 ， 就 必须 保证 不 能 让 一 般 人 随便 窥探 数据 。 这 种 情况 
下 ， 基 于 权限 的 保护 方式 已 经 不 能 使 用 ， 只 能 通过 加 密 来 提供 额外 的 保护 。 

首先 要 说 明 的 是 ， 在 一 般 情况 下 ， 加 密 这 个 词汇 除了 表示 将 信息 无 损 地 变换 为 密 文 之 
外 ， 还 包括 一 些 所谓 单 向 算法 ， 后 者 其 实 就 是 一 个 计算 校 验 和 的 过 程 。 换 句 话说， 知道 单 
向 算法 的 结果 ， 是 没有 可 能 逆向 求 出 原文 的 (所 以 这 个 算法 被 称 为 单 向 的 )。 几 乎 所 有 的 单 
向 算法 都 使 用 了 与 HASH 函数 相关 的 技术 , 这 种 技术 使 得 事实 上 完全 不 可 能 有 两 组 不 同 数 
据 产生 同样 的 校 验 和 。 另 一 方面 ， 除 了 实际 计算 一 下 以 外 ， 也 不 可 能 有 别 的 办 法 生成 
某 段 数据 的 校 验 和 。 因 此 ， 这 种 技术 被 用 于 确保 数据 的 可 信 性 ， 或 者 说 ， 确 信 数 据 在 传 
输 过 程 中 未 经 修改 。 


1，MD5 
最 常用 的 单 向 算法 是 MD5， 相 应 的 程序 实现 在 Linux 中 就 是 md5sum 校 验 程序 ， 它 可 
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以 为 一 个 文件 生成 md5 校 验 和 。 


[root@ cs bin]# md5sum ~wly/wly.rar 
4fbec4d2dedcc6lefec6e6aadf595e96 /home/wly/wly.rar 


输出 的 128 位 十 六 进 制 数 就 是 相应 文件 的 md5 校 验 和 。 

非 单 向 《可 逆 ) 的 加 密 算法 也 可 以 分 成 两 类 。 一 类 称 为 对 称 算法 ， 它 在 加 密 和 解密 的 
时 候 用 的 是 同样 的 加 密 密 钥 ， 就 是 对 密 文 用 同样 的 密 钥 变换 之 后 可 以 得 到 原文 。 另 一 种 是 
非 对 称 的 ， 就 是 要 使 用 两 个 密 钥 ， 用 一 个 密 钥 加 密 的 数据 只 能 用 另 一 个 密 钥 解密 ， 反 之 亦 
然 。 当 用 户 需要 给 别人 发 送信 息 的 时 候 ， 将 某 一 个 密 钥 发 送 给 别人 ， 然 后 用 另 一 个 密 钥 加 
密 文件 ， 接 收 方 只 要 用 收 到 的 密 钥 解密 这 个 文件 就 可 以 了 。 

两 种 加 密 手段 都 有 其 代表 技术 ， 如 DES 是 对 称 算法 ，RSA 则 是 非 对 称 算法 。 现 在 许 
多 加 密 工 具 都 是 基于 这 两 种 技术 的 。 不 过 应 该 指出 的 是 ， 由 于 法 律 上 的 一 些 问题 ，DES 加 
密 系 统 使 用 的 并 不 是 很 广 〈 主 要 因为 美国 出 口 限制 )， 而 且 大 部 分 DES/RSA 加 密 工具 是 硬 
件 实现 的 。 除 此 之 外 ，DES 加 密 系 统 的 可 靠 性 仍然 在 争论 中 。 因 此 ， 实 际 应 用 中 ， 特 别 是 
类 似 电子 邮件 之 类 的 数据 交换 ， 大 家 使 用 的 主要 是 一 种 名 叫 PGP 的 加 密 工 具 ， 这 个 工具 是 
由 Phil Zimmermann 发 明 的 《他 由 于 发 明 这 个 工具 一 度 遭 到 诉讼 )。 


2，PGP 


让 我 们 回 过 头 来 考虑 双 密 钥 体 系 ， 标 准 的 工作 方式 是 : 用 户 A 首先 要 建立 两 个 密 钥 ， 
一 个 称 为 私 用 密 钥 ， 由 用 户 保留 ; 另 一 个 称 为 公用 密 钥 ， 对 外 公开 。 当 用 户 B 想 要 向 用 户 
A 发 送信 息 的 时 候 ， 他 用 A 的 公用 密 钥 来 加 密 数据 ， 然 后 传送 给 A。 这 样 ， 由 于 只 有 和 A 有 具 
有 私 用 密 钥 ， 所 以 其 他 人 《包括 B) 无 法 解密 对 应 密 文 ， 这 就 保证 了 传送 的 数据 只 有 A 可 
以 看 到 。 不 过 ， 由 于 公用 密 钥 是 公开 的 ,任何 人 都 可 以 冒充 B 来 给 A 发 信 ， 所 以 这 个 体系 
还 存在 可 能 被 假冒 发 送信 息 的 弱点 。 解 决 的 方法 很 简单 ， 就 是 利用 前 面 说 的 单 向 算法 给 数 
据 加 上 签名 。 这 就 是 PGP 的 基本 思路 。 

PGP 的 算法 是 这 样 的 : 首先 ，B 和 A 各 生成 一 对 密 钥 ， 然 后 通过 一 个 可 信 的 机 构 ， 交 
换 自己 的 公用 密 钥 〈 当 然 ， 两 人 也 可 以 直接 见面 解决 这 个 问题 )， 在 这 之 后 ， 如 果 B 想 要 
向 A 发 送 自己 的 信息 ， 那 么 ， 他 首先 要 用 MD5 算法 计算 出 整个 信息 (严格 地 说 ， 在 PGP 
中 ,计算 的 是 信息 + 发 送 者 的 ID+ 日 期 时 间 等 ) 的 校 验 和 ， 然 后 用 自己 的 私 用 密 钥 加 密 这 个 
校 验 和 并 且 附 加 在 整个 信息 后 面 ; 接着 ,再 用 A 的 公开 密 钥 加 密 得 到 的 全 部 数据 ， 最 后 发 
送 给 A。 而 当 A 接收 到 这 个 数据 的 时 候 ， 他 首先 用 自己 的 私 用 密 钥 解 开 密 文 ， 得 到 原文 和 
加 密 后 的 校 验 和 ; 然后 再 用 B 的 公 钥 解密 校 验 和 ; 最 后 重新 计算 校 验 和 ， 判 断 信息 是 否 被 
修改 过 。 

这 个 算法 本 身 可 以 说 无 懈 可 击 ， 除 了 交换 公 钥 问题 (这 可 以 通过 建立 权威 的 交换 中 
心 的 办 法 解决 )。 但 是 实际 上 , 不 对 称 的 双 密 钥 体系 的 加 密 解 密 速度 一 般 是 很 慢 的 (特别 是 
RSA)， 因 此 PGP 采用 一 个 折 中 的 办 法 ， 对 信息 加 密 采用 一 个 名 叫 IDEAL 的 算法 。IDEAL 
是 一 个 传统 的 单 密 钥 对 称 算法 ， 其 计算 速度 很 快 。 实 际 计算 中 ，PGP 首先 产生 一 个 随机 密 
码 ， 然 后 用 这 个 密码 作为 密 钥 对 信息 进行 IDEAL 加 密 ; 接 下 来 ， 用 RSA 算法 对 密码 进行 
加 密 。 解 密 的 时 候 ， 接 收 方 是 先 用 RSA 算法 得 出 随机 密码 ， 然 后 用 IDEAL 算法 对 信息 进 
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行 解密 得 出 源 信息 。 
目前 ，PGP 源码 可 以 从 因特网 上 自由 下 载 ， 也 可 以 使 用 编译 好 的 PGP 包 。 
1) 利用 PGP 程序 的 源 代码 或 可 执行 文件 数据 进行 加 密 
第 一 个 任务 是 生成 公用 密 钥 和 私 用 密 钥 ， 可 以 使 用 pgp -kg 命令 生成 。 


#mkdir.pgp 
#pgp -kg 


(1) 确定 PGP 密 钥 的 长 度 ， 可 以 选择 512、768 或 者 1024 位 ， 一 般 都 选择 1024 位 ， 
因为 PGP 加 密 的 速度 相当 快 ， 所 以 选择 1024 位 不 会 造成 性 能 上 的 损失 ， 显 示 如 下 : 


Pick your RSA key size: 
@ 512 bits-Low commercial grade, fast but less secure 
@ 768 bits-High commercial grade, medium speed, good security 
图 1024 bits- "Military" grade, slow, highest security 
Choosel, 2, or 3, or enter desired number of bits:3 


(2) 需要 设置 用 户 名 和 口令 , 用 户 名 可 以 自己 随便 设置 , 口令 是 用 来 保护 私 用 密 钥 的 ， 
原则 是 尽量 难 猜 一 点 ， 而 且 一 定 要 记 住 自己 的 用 户 名 和 口令 ， 显 示 如 下 : 


Enter pass phrase: 
Enter same pass phrase again: 
Note that key generation is a lengthy process. 


(3) PGP 会 要 求 输 入 随机 数字 密 钥 ， 因 为 没有 人 喜欢 输入 这 样 长 的 数字 ，PGP 的 办 法 
是 让 你 随机 地 按键 盘 上 的 键 产生 出 一 个 数字 串 , 所 以 可 以 任意 按键 直到 PGP 的 提示 数字 变 
成 0， 显 示 如 下 : 

We need to generate 1215 random bits. This is done by measuring the 

time intervals between your keystrokes. Please enter some random text 


on your keyboard until you hear the beep: 
1215 


然后 ， 就 会 在 用 户 的 PGP 目录 下 面 产生 出 私 用 密 钥 的 存储 文件 和 公用 密 钥 的 存储 文 
名 字 分 别 是 pubring.pgp 和 secring.pgp。 

2) 把 某 个 文件 加 密 传 送 给 别人 

(1) 首先 要 生成 公用 密 钥 输出 文件 。 


件 


Pgp -kx wly public 
(wly 是 我 们 设 定 的 pgp 用 户 名 ) 


这 样 就 生成 了 一 个 用 来 传送 公用 密 钥 的 文件 public.pgp。 
(2) 用 PGP 来 加 密 数 据 。 例 如 ， 要 和 userl 通信 ， 首 先 要 把 自己 的 public.pgp 交 给 
userl， 然 后 userl 需要 把 这 个 公用 密 钥 加 入 他 自己 的 密 钥 环 。 


pgp -ka public.pgp 
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PGP 会 产生 烦琐 的 询问 ， 主 要 是 问 你 是 否 愿意 相信 这 个 密 钥 ， 选 择 同意 之 后 ， 这 个 密 
钥 就 被 加 入 到 userl 的 密 钥 环 中 。 

(3) userl 就 可 以 用 PGP 加 密 一 份 文件 了 。 例 如 ， 想 把 mychains 文件 加 密 后 交 给 toot， 
需要 用 root 的 公用 密 钥 对 mychains 进行 加 密 。 


pgp -e mychains wly 


这 个 过 程 会 产生 一 个 mychains.pgp 文件 ， 然 后 userl 可 以 把 这 个 文件 发 送 给 root。 
(4) root 接收 到 这 个 文件 之 后 ， 可 以 对 其 进行 解密 。 


pgp mychains.pgp 


这 个 动作 将 产生 原来 的 mychains 文件 并 且 删 除 mychains.pgp 文件 。 

3) PGP 的 其 他 参数 

PGP 有 很 多 参数 ， 比 较 重 要 的 介绍 如 下 。 

。 pgp -e [a] 源 文件 收 件 人 ID [其 他 收 件 人 ID]; 用 收 件 人 的 公用 密 钥 加 密 源 文件 ， 
得 到 密 文 。 这 个 过 程 将 会 生成 一 个 源 文件 名 加 上 .pgp 后 级 的 二 进 制 加密 文 件 。 如 果 
想 把 加 密 的 结果 通过 电子 邮件 传送 给 别人 ， 可 以 加 上 a 参数 。 

。 pgp -ea 文件 名 字 收 件 人 ID; 然后 将 得 到 7 位 编码 的 密 文 ， 后 缀 也 变 成 了 .asc。 

pgp -s [a] 源 文件 [-u 我 的 ID]; 用 我 的 私 用 密 钥 给 源 文件 签名 ， 如 果 不 用 默认 用 

户 名 ， 就 要 用 -u 参数 指定 某 个 特定 ID 的 私 钥 。 同 样 ， 加 上 a 参数 可 以 得 到 7 位 编 

码 输出 。 

pgp -se [a] 源 文件 收 件 人 ID [其 他 收 件 人 ID] [-u 我 的 ID ]: 即 先 签名 再 加 密 ， 

参数 意义 同上 。 

pgp -sb [a] [+clearsig=on] 主 文 件 [-u 我 的 ID]: 产生 与 主 文件 分 开 的 签名 文件 ， 

a 与 -u 参数 的 意义 同上 。+clearsig=on 参数 的 意义 是 当 为 一 份 二 进 制 主 文件 签名 时 ， 

生成 的 签名 是 7 位 可 识别 的 形式 。 这 个 参数 也 可 以 在 pgp.ini 文件 中 设置 。 

。 pgp -c 源 文件 : 用 IDEA 加 密 算法 对 源 文件 加 密 ， 由 用 户 给 出 口令 。 这 里 没有 使 用 
RSA 算法 ， 因 此 只 是 一 种 传统 加 密 。PGP 也 提供 了 这 样 一 种 相当 不 错 的 加 密 手 段 。 

。 pgp -a 源 文件 ， 用 RADIX 64 编码 对 原文 件 编码 ， 输 出 文件 默认 用 .asc 作为 扩展 名 。 
RADIX 64 编码 和 E-mail 中 常用 的 MIME BASE64 编码 是 兼容 的 ， 用 MIME 的 解码 
工具 可 以 解 开 PGP 的 编码 。 

。pgp [-d] [-p] [-b] 密 文 : 解密 或 检查 签名 ，-d 参数 用 来 保留 密 文 〈 默 认为 删除 密 

文 )，-p 参数 用 来 恢复 源 文件 加 密 时 的 文件 名 。 

pgp -b 被 签名 后 的 文件 ， 从 被 签名 的 文件 中 分 离 出 签名 文件 。 

。 pgp -kg [ 密 钥 长 度 ]; 生成 密 钥 对 ， 可 以 给 出 长 度 。 

。 pgp -ka 密 钥 传递 文件 : 把 别人 给 你 的 密 钥 传递 文件 中 的 密 钥 加 入 到 你 的 pgp 密 
钥 环 。 

。 pgp -kx [a] 用 户 名 密 钥 传 递 文 件 ， 生 成 自己 的 密 钥 传 递 文 件 ， 以 后 只 要 把 这 个 
文件 交 给 别人 ， 对 方 就 可 以 用 你 的 公用 密 钥 对 文件 进行 加 密 。 加 a 参数 将 产生 一 个 
用 7 位 编码 的 密 钥 文件 ， 从 而 方便 通过 E-mail 传递 它 。 
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pgp kv [v] [用 户 名 ]， 查看 密 钥 列表 。v 参数 代表 详细 列 出 附着 的 签名 。 

pgp -kvc [用 户 名 ]; 列 出 密 钥 的 “指纹 ”。 

pgp -kc [用 户 名 ]: 列 出 密 钥 环 的 内 容 和 检查 签名 情况 ， 例 如 某 人 的 信任 参数 等 。 
pgp -ke 用 户 名 : 编辑 密 钥 环 中 密 钥 的 用 户 名 或 者 更 换 口令 。 

pgp -kr 用 户 名 ; 删除 一 个 用 户 。 

pgp -ks 对 方 被 签名 ID [-u 你 用 来 签名 的 ID]; 对 一 个 公用 密 钥 进行 签名 认证 。 

pgp -krs 用 户 名 [ 密 钥 环 ]: 删除 一 个 签名 。 

pgp -kd 你 的 ID: 永久 性 地 废除 一 个 密 钥 ， 并 且 生 成 一 个 “废除 证 明 ” 用 生成 文件 
通知 外 界 。 


5.1.6”B1 安全 级 强化 


本 节 介 绍 一 个 对 Linux 安全 问题 的 解决 思路 。 对 于 UNIX/Linux， 攻 击 和 防御 的 要 点 都 
是 围绕 着 root 用 户 及 如 何 获得 一 个 root shell 展开 的 。 这 里 的 关键 是 root 可 以 做 任何 事情 ， 
而 所 有 的 重要 操作 又 都 需要 root 权限 ， 这 就 使 得 一 旦 侵入 者 拿 到 root shell， 系 统 就 被 完全 
攻破 了 。 

因此 可 以 考虑 这 样 的 技术 ， 将 系统 的 敏感 任务 分 别 划 给 不 同 的 用 户 ， 取 消 全 能 的 root 
账户 的 存在 ， 避 免 不 同 的 安全 问题 纠缠 在 一 起 。 这 样 即使 攻击 者 进入 系统 ， 也 无 法 危害 系 
统 的 安全 性 。 实 现 这 种 功能 的 最 简单 方法 是 将 系统 安全 性 提升 到 B 级 ， 这 样 可 以 在 很 大 程 
度 上 减少 系统 中 的 安全 隐患 。 

LIDS 介绍 

实现 这 种 功能 ， 需 要 修改 Linux 的 系统 内 核 ， 目 前 ， 这 种 修改 都 是 以 补丁 的 方式 发 
行 的 ， 这 里 介绍 的 是 谢 华 刚 的 LIDS (Linux 入 侵 检 测 系 统 )。 应 该 指出 的 是 ，LIDS 更 多 的 
并 不 是 一 个 “入 侵 监 测 系统 ” 而 是 一 个 安全 性 补丁 ， 它 可 以 实现 下 列 的 功能 。 

。 入 侵 防 护 ， 可 以 对 系统 中 重要 的 文件 、 进 程 和 设备 进行 保护 ， 即 使 是 入 侵 者 已 经 拿 

到 了 root 账号 ， 也 能 保证 这 些 对 象 不 会 被 入 侵 者 操纵 。 

。 入 侵 检 测 : LIDS 可 以 提供 对 于 端口 扫描 的 检测 。 

。 入 侵 响应 ;， 当 发 现 系 统 受到 攻击 之 后 ， 它 可 以 将 必要 的 信息 记录 到 日 志文 件 中 。 

对 于 我 们 来 说 ， 入 侵 防护 是 最 重要 的 功能 。 这 是 通过 修改 系统 核心 调用 函数 open、 
mknod 和 unlink 等 的 代码 来 实现 的 。 一 旦 LIDS 开始 工作 ， 它 在 内 核 中 维护 一 张 授 权 表格 ， 
当 有 某 个 程序 调用 open 来 打开 文件 的 时 候 ，LIDS 将 会 检查 授权 表 ， 阻 挡 一 切 未 经 授权 的 
访问 。 由 于 这 个 动作 发 生 在 内 核 中 ， 即 使 超级 用 户 也 无 法 绕 过 授权 工作 ， 除 非 将 LIDS 关 
掉 。 同 样 ， 在 访问 进程 和 设备 的 时 候 ， 也 发 生 授权 检查 过 程 。 

授权 规则 由 主体 (subject)、 客 体 (object) 和 授权 构成 ， 主 体 是 发 起 操作 的 程序 ， 客 体 
是 它 准 备 操作 的 目标 , 而 授权 则 是 由 DENY/READ/APPEND/WRITE/IGNORE 儿 个 级 别 构成 
的 ， 比 如 READ 是 允许 主体 读 这 个 文件 ，WRITE 允许 写 ， 而 IGNORE 则 忽略 存 取 规则 。 
授权 级 别 之 间 的 关系 是 后 面 的 包含 前 面 的 ， 也 就 是 说 允许 WRITE 也 就 直接 允许 了 READ 
和 APPEND。 当 然 ，DENY 就 是 没有 任何 授权 。 

LIDS 的 文件 授权 规则 是 基于 节点 号 的 ， 也 就 是 实际 控制 的 不 是 文件 名 而 是 inode， 因 
此 用 户 不 能 通过 建立 链接 或 者 改名 之 类 的 办 法 绕 过 存 取 授权 。 当然, 如 果 文 件 发 生 了 移动 ， 
也 只 有 刷新 授权 列表 才能 保证 LIDS 正确 工作 。 
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除 此 之 外 ， 另 一 个 重要 的 任务 是 控制 用 户 程序 的 “能 力 ”的 功能 。 所 谓 “能 


能 力 


(capability )” 是 指 程序 控制 系统 资源 的 权利 ， 如 访问 网 络 ， 直 接 存 取 设 备 等 。 表 5-6 是 已 
经 实现 的 能 力 的 一 览 表 。 


表 5-6 已 实现 能 力 一 览 表 
描述 


CAP CHOWN 


允许 无 限制 使 用 chown 改变 文件 所 有 权 


CAP DAC OVERRIDE 


允许 无 条 件 的 文件 访问 无 DAC 限制 ) 


CAP DAC READ SEARCH 
CAP FOWNER 

CAP FSETID 

CAP KILL 

CAP_SETGID 
CAP_SETUID 
CAP_SETPCAP 

CAP LINUX_IMMUTABLE 
CAP_ NET BIND SERVICE 
CAP NET BROADCAST 
CAP NET_ADMIN 

CAP NET RAW 

CAP IPC_LOCK 

CAP IPC_OWNER 

CAP SYS MODULE 

CAP SYS RAW IO 

CAP SYS CHROOT 

CAP SYS PTRACE 

CAP SYS PACCT 


CAP_SYS_ADMIN 


CAP_SYS_BOOT 
CAP_SYS_NICE 


允许 所 有 相关 读 /搜索 动作 ， 忽 略 文件 许可 

即使 属 主 id!=userid 也 允许 文件 访问 
允许 对 任何 文件 设置 setuid/setgid 标志 

允许 向 非 自 己 所 拥有 的 进程 发 送信 号 

允许 无 限制 的 setgid (2) 和 setgroups (2) 
允许 无 限制 的 setuid (2) 和 friends 

允许 将 你 拥有 的 任何 能 力 传递 给 另 一 个 PID 

允许 修改 不 变 的 和 附加 的 文件 属性 

允许 绑 定 小 于 1024 的 TCP 和 UDP 端口 

允许 发 往外 部 的 广播 包 

允许 与 网 络 接口 有 关 的 许多 选项 ， 例 如 路 由 表 修 改 等 
允许 使 用 原始 套 接 字 和 数据 包 套 接 字 ， 例 如 手工 构造 的 数据 包 
允许 锁定 共享 内 存 段 

允许 无 限制 IPC 访问 

允许 插入 、 移 除 LKMs 

允许 直接 访问 设备 ， 例 如 /dew [hs] da* 

允许 使 用 chroot (2) 

允许 使 用 进程 追踪 任何 进程 

允许 配置 进程 记 账 系统 

允许 许多 限制 性 的 活动 ， 例 如 设 定 hostname， 使 用 mount, 创建 设 
备 等 (类 似 于 root 能 力 ) 

允许 使 用 reboot (2) 

允许 提高 优先 权 ， 影 响 非 属 主 进程 的 nice level 


CAP SYS RESOURCE 通过 resource/quota/etc 限制 禁止 访问 

CAP SYS TIME 允许 时 钟 处 理 

CAP SYS_ TTY _CONFIG 允许 tty 设备 配置 

CAP_HIDDEN LIDS 特定 的 能 力 ， 用 于 隐藏 /proc (或 者 其 他 ) 中 的 一 个 进程 
CAP INIT mm LIDS 特定 的 能 力 ， 用 于 限制 向 init 拥有 的 进程 发 送信 号 ， 通 常 为 


daemons 


能 力 的 设计 可 以 使 管理 员 把 原来 属于 同一 个 超级 用 户 root 的 功能 分 配给 多 个 用 户 《 准 


确 地 说 是 多 个 进程 )， 彼 此 互 不 干扰 ,避免 系统 某 一 点 被 攻破 就 全 盘 崩 溃 。 特 别 是 许多 任务 
可 以 交 给 非 root 用 户 ， 从 而 避免 了 由 于 bind 之 类 的 程序 被 攻破 导致 系统 被 全 面 攻破 。 

由 于 在 实际 操作 中 ， 许 多 程序 要 装 入 其 他 的 程序 来 实现 功能 ， 因 此 LIDS 中 定义 了 两 
个 特定 的 权力 : INHERIT 和 NO_INHERIT, 它们 决定 当前 进程 的 授权 规则 和 能 力 是 否 传递 
给 子 进程 。 
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LIDS 对 系统 的 另外 一 个 保护 功能 是 封装 内 核 ， 简 单 地 说 就 是 禁止 装 入 内 核 模块 的 能 
力 。 许 多 Linux 黑客 程序 是 采用 修改 内 核 的 方式 〈 加 载 内 核 模块 ) 获得 系统 控制 权 的 ， 这 
个 功能 可 以 用 来 避免 这 类 程序 的 危害 。 

LIDS 详细 的 资料 和 安装 /配置 说 明 可 以 在 http://www.lids.org 找到 ， 其 中 还 有 一 些 对 
于 不 同 的 服务 器 系统 如 何 配 置 LIDS 的 样板 。 


5.1.7 日 志 


日 志 就 是 对 系统 行为 的 记录 。 例 如 记录 某 个 用 户 的 登录 /退出 及 执行 的 命令 ， 系 统 
中 发 生 的 错误 等 。 在 标准 的 Linux 系统 中 ， 操 作 系 统 维护 三 个 基本 的 日 志 。 

。 连接 时 间 日 志 : 用 来 记录 用 户 的 登录 信息 ， 这 是 最 基本 的 日 志 系 统 ， 管 理 员 可 以 利 
用 它 来 跟踪 谁 在 什么 时 候 进 入 了 系统 。 

。 进程 记 账 日 志 ; 用 来 记录 系统 中 执行 的 进程 信息 。 例如 某 个 进程 消耗 了 多 少 CPU 时 
间 等 。 

。 syslog: syslog 系统 日 志 并 不 由 系统 内 核 维护 ， 而 是 由 syslogd 或 者 其 他 一 些 相 关 程 
序 完 成 。 它 是 各 种 程序 主要 是 daemon 进程 ) 对 运行 中 发 生 的 事件 的 处 理 代码 。 


1， 连接 时 间 日 志 


连接 时 间 日 志 由 utmp、wtmp 和 1lastlog 记录 构成 。 有 关 当 前 登录 用 户 的 信息 记录 在 utmp 
中 ， 用 户 的 登录 和 退出 记录 及 系统 开关 机 的 记录 存放 在 wtmp 中 ， 用 户 最 后 一 次 登录 的 信 
息 存 放 在 lastlog 文件 中 。 遗 憾 的 是 这 些 文件 没有 固定 的 存放 地 点 ， 尽 管 在 大 多 数 Linux 系 
统 中 ， 它 们 放 在 /varlog 下 面 ， 但 是 这 并 不 是 一 个 标准 。 
这 几 个 文件 都 是 二 进 制 文件 ， 所 以 不 可 能 用 简单 的 vi 和 cat 命令 查看 它们 的 内 容 。 相 
有 几 个 标准 命令 可 以 完成 这 些 功能 。 
。w 命令; 显示 当前 用 户 及 其 登录 终端 /进程 信息 。 


反 


[wly@ cs log]$ w 

11:25pm up 2 min, 1 user, load average:0.50, 0.24, 0.09 

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT 
wly pts/0 202.206.196.226 11:25pm 1.00s 0.26s 0.05s Ww 


。 who 命令 ; 显示 当前 用 户 及 其 登录 终端 。 


wly@ cs 1og]Swho 
wly Pts/0 Oct 28 23:25(202.206.196.226 


。 users 命令 ;显示 当前 用 户 列 表 。 


wly@ cs 10g]$ users 
wly 


。 last 命令; 显示 自从 wtmp 命令 建立 (通常 是 系统 启动 ) 之 后 登录 的 用 户 信息 。 


wly@ cs lo0g]$ last |more 
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wly pts/0 202.206.196.226 Mon Oct 28 23:25 still logged in 
wly ttyl Mon Oct 28 05:56 -down (00:01) 
wly pts/0 202.112.94.108 Wed Oct 2 12:18 -14:33 (02:15) 
wly pts/1 202.112.94.108 Wed Oct 2 11:52 -12:03 (00:10) 
vista ftpd23238 202.206.196.221 Wed Oct 2 11:03 -11:07 (00:04) 
vista ftpd23235 202.206.196.221 Wed Oct 2 10:50 -12:02 (01:11) 
vista ftpd23234 202.206.196.221 Wed Oct 2 10:18 -11:09 (00:50) 

Vista ftpd23233 202.206.196.221 Wed Oct 2 10:17 -11:17 (01:00) 
Vista ftpd23232 202.206.196.221 Wed Oct 2 10:17 -11:04 (00:47) 
vista ftpd23231 202.206.196.221 Wed Oct 2 10:17 -11:05 (00:48) 
vista ftpd23229 202.206.196.221 Wed Oct 2 10:17 -10:17 (00:00) 
vista ftpd23230 202.206.196.221 Wed Oct 2 10:16 -11:08 (00:51) 
vista ftpd23228 202.206.196.221 Wed Oct 2 10:16 -11:05 (00:48) 
vista ftpd23227 202.206.196.221 Wed Oct 2 10:16 -10:50 (00:34) 
wly pts/0 202.112.94.108 Wed Oct 2 10:03 -12:10 (02:06) 
ftp ftpd22930 linux.asnc.edu.cn Wed Oct 2 04:03 -04:03 (00:00) 
wly pts/0 202.112.94.108 Tue Oct 1 20:04 -20:17 (00:12) 
wly pts/0 202.112.94.108 Tue Oct 1 17:33 -19:37 (02:03) 


wtmp begins Tue Oct 1 08:50:27 2002 


。 ac 命令 ; 显示 所 有 用 户 总 的 联机 时 间 ， 如 果 加 上 -p 参数 ， 则 显示 每 个 用 户 的 总 联机 
时 间 。 


[wly@ cs log] $ ac 


total 3966.60 
[wly@ cs log] $ac -p 
why 0.77 
zhp 0.09 
ftp 3906.91 
wly 0.25 
root 58.45 
apache 0.01 
jly 0.13 
上 total 3966.61 


。 lastlog 命令 ;显示 所 有 用 户 上 次 登录 的 时 间 ， 如 果 用 -u 参数， 则 显示 单独 的 某 个 用 
户 的 登录 时 间 。 


[wly@ cs log] $ lastlog -u wly 
Username Port From Latest 
wly pts/0 202.206.196.226 Mon Oct 28 23:25:29 +0800 2002 


2， 进 程 记 账 日 志 


进程 记 账 功能 来 源 于 BSD 系统 , 这 个 功能 必须 在 内 核 中 被 激活 , 这 是 靠 编译 内 核 中 启 
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用 BSD Process Accounting 完成 的 ， 图 5-1 所 示 是 内 核 编译 设置 图 。 


图 5-1 


重新 编译 内 核 之 后 ， 还 要 用 命令 启动 记 账 。 
#/sbin/accton [记录 文件 ] 


例如 ， 胡 sbin/accton/varlog/pacct 将 打开 进程 记 账 系统 ， 记 账 信息 存放 在 /varlog/pacct 
文件 中 。 注 意 ， 在 启动 记 账 之 前 ，/var/log/pacct 文件 必须 存在 ， 可 以 用 touch 命令 自己 建 
立 它 。 

#touch/var/log/pacct 

不 带 参数 的 accton 程序 关闭 进程 记 账 功能 : 


#/sbin/accton 


设置 了 记 账 之 后 ， 可 以 用 sa 命令 显示 系统 执行 的 进程 和 每 个 进程 消耗 的 时 间 , 但 是 对 
于 我 们 来 说 ， 更 有 用 的 是 lastcomm 命令 ， 它 可 以 显示 以 前 执行 的 命令 。 


3，syslog 日 志 


最 后 一 种 也 是 最 有 用 的 日 志 工具 是 syslog 相关 日 志 。 当 然 ， 这 种 日 志 并 不 全 都 通 
过 syslogd 进程 。 例 如 ，httpd 程序 就 会 绕 过 syslogd， 自 己 去 写 log 文件 。 不 过 ， 这 种 日 
志 工 具 都 是 对 程序 运行 时 发 生 时 间 的 一 种 记录 ， 而 且 完全 是 文本 文件 。 

通过 函数 syslog 调用 发 生 的 日 志 记录 都 会 通过 syslogd 程序 写 入 系统 日 志 ， 具 体 的 写 
入 方式 由 /etc/syslog.conf 控制 ， 这 个 文件 由 一 系列 行 组 成 定义 哪些 消息 被 写 到 哪里 ， 以 # 开 
头 的 行 被 当成 注释 行 。 

正文 行 的 语法 如 下 。 


[消息 类 型 ] [动作 ] 
中 间 用 Tab 字符 分 割 。 
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消息 类 型 由 “消息 来 源 ” 和 “优先 级 ”构成 ， 中 间 用 一 个 点 号 连接 。 如 果 想 在 一 行 上 


标 出 多 个 消息 类 型 ， 中 间 用 分 号 分 开 。 


消息 来 源 如 表 5-7 所 示 。 
表 5-7 消息 来 源 一 览 表 
来 源 描述 
kem 内 核 
user 用 户 程序 
mail 电子 邮件 系统 (smtp、pop3 等 ) 
daemon 系统 守护 进程 
auth 和 安全 性 及 权限 修改 相关 的 命令 
lpr 打印 机 
authpriv 私 用 的 授权 信息 
mark 定时 产生 的 时 间 蕉 
cron cron 程序 
syslog syslod 程序 自身 产生 的 消息 
local0-7 8 种 本 地 消息 
news Usenet 系统 消息 
uucp uucp 程序 


可 以 使 用 一 个 通配符 来 指 代 所 有 的 设备 ， 例 如 “*” 代 表 一 切 消息 来 源 ， 而 none 表示 


什么 都 没有 。 


优先 级 被 分 成 下 面 的 几 个 等 级 ， 匹 配 规则 是 向 上 包含 ， 也 就 是 说 默认 条 件 下 定义 低 优 
先 级 事件 将 同时 包含 高 优先 级 事件 。 除 非 定义 了 “=” 操 作 符 ， 例 如 kern.=info， 将 只 匹配 
info 级 别 的 消息 ， 而 kern.info 将 同时 匹配 所 有 info 以 上 级 别 的 kemel 消息 。 优 先 级 别 如 


表 5-8 所 示 。 
表 5-8 优先 级 表 
级 别 描述 
emerg 最 高 优先 级 别 
alert 紧急 状态 
crit 资源 临界 
err 出 现 错误 
Warning 警告 
notice 出 现 了 某 些 不 寻常 的 事情 ， 可 能 应 该 调查 
info 一 般 性 消息 
debug 用 于 调试 的 信息 


“*” 和 none 仍然 可 以 使 用 。 


“动作 ”选项 告诉 syslogd 应 该 如 何 处 理 对 应 的 消息 ; 将 它 存 入 硬盘 文件 ， 显 示 在 终端 


计算 机 网 络 安全 管理 (第 2 版 ) 
134 


上 ， 发 送 给 某 个 用 户 或 者 转发 给 另外 一 台 主机 。 表 5-9 是 可 用 动作 的 一 览 表 。 
表 5-9 可 用 动作 的 一 览 表 


选 项 描 述 

文件 名 写 入 某 个 文件 ， 注 意 这 里 必须 使 用 文件 的 绝对 路 径 

@ 主 机 名 转发 给 另外 一 台 主机 上 的 syslogd 程序 ， 这 需要 远 端 主机 使 用 syslog -r 
命令 启动 syslogd 

@IP 地 址 等 价 于 @ 主 机 名 ， 只 是 使 用 IP 地 址 标志 远程 机 器 

用 户 列表 用 逗号 分 开 的 用 户 列表 ， 例如 userl、 user2 表示 如 果 userl 和 user2 登 
录 的 话 就 把 信息 发 送 到 他 们 的 终端 上 

发 送 到 所 有 用 户 的 终端 上 

/dev/console 发 送 到 本 地 机 器 的 屏幕 上 

| 程序 名 通过 管道 转发 给 某 个 程序 


志 不 能 增加 系统 的 安全 性 ， 而 最 多 只 能 增加 攻击 者 被 抓 住 的 可 能 性 。 遗 憾 的 是 ， 无 
论 哪 一 种 日 志 ， 都 会 记录 大 量 无 用 的 数据 ， 使 得 许多 人 失去 认真 检查 它 的 兴趣 ， 解 决 的 办 
法 是 使 用 某 种 专用 日 志 检查 工具 ， 如 swatch。 


5.2 网 络 安全 


5.2.1 网 络 接口 层 


1， 监听 


首先 来 考虑 网 络 接口 /物理 层 的 主要 问题 。 这 两 层 完成 的 任务 是 将 数据 转化 成 物理 的 网 
络 帧 ， 并 且 在 电气 连接 上 传递 。 这 两 层 的 主要 问题 ， 在 于 具体 的 硬件 特性 。 通 常情 况 下 ， 
最 主要 的 连接 产品 是 以 太 网 。 

以 太 网 的 结构 非常 简单 ， 许 多 网 络 接口 卡 〈NIC) 被 电缆 和 集线器 连接 在 一 起 。 当 某 
一 台 机 器 准备 发 送 数据 的 时 候 , 它 首先 根据 电缆 电 平 判断 一 下 当前 是 否 有 其 他 网 卡 在 工作 ， 
如 果 没 有 ， 就 开始 发 送 一 段 数据 ( 称 为 以 太 网 帧 ), 然后 暂停 一 下 ， 再 重复 上 述 操作 。 如 果 
有 两 台 机 器 同时 发 送 数据 ， 会 导致 网 络 冲突 ， 在 这 种 情况 下 双方 都 会 暂停 一 下 (具体 暂停 
的 时 间 是 个 随机 量 )， 然 后 继续 发 送 。 

以 前 使 用 的 同 轴 电 缆 (10-base5 或 者 10-base2) 的 以 太 网 ， 所 有 的 网 卡 都 被 直接 连接 
到 电缆 上 。 而 现在 的 以 太 网 (100-base TX 及 更 先进 的 系统 ) 中 ,网 卡 首先 用 双 绞 线 连接 到 
集线器 和 交换 机 ， 然 后 再 连接 到 其 他 的 机 器 。 

集线器 就 是 一 个 简单 的 信号 放大 器 ， 用 来 补偿 信号 在 传输 中 的 衰减 和 变形 。 由 于 一 台 
集线器 可 以 连接 很 多 的 网 卡 ( 堆 合式 集线器 可 以 堆 秋 上 百 个 插口 ), 而 集线器 并 不 去 辨认 信 
号 的 出 发 点 和 目标 ， 所 以 任何 信号 都 会 跑 遍 这 个 系统 内 所 有 的 网 卡 和 电缆 (术语 叫做 “ 冲 

以 太 网 卡 使 用 一 个 48 位 的 整数 来 标志 自身 ， 理 论 上 它 是 唯一 的 ， 这 个 数字 称 为 MAC 
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地 址 。 当 某 一 个 网 卡 发 送 数据 的 时 候 ， 它 在 以 太 网 帧 中 携带 发 送 者 和 接收 者 的 MAC 地 址 。 
而 接收 方 只 是 沉默 地 倾听 ， 记 录 所 有 的 以 太 网 帧 ， 并 且 试图 分 辨 出 接收 者 的 MAC 地 址 
如 果 这 个 地 址 和 自身 的 地 址 相同 ， 就 会 将 这 个 网 帧 传送 给 上 层 网 络 驱动 程序 ， 否 则 ， 这 个 
网 帧 将 被 简单 地 丢弃 。 

事实 上 处 于 倾听 状态 的 所 有 网 卡 都 能 监听 到 任何 同 域内 网 卡 发 出 的 所 有 以 太 网 帧 ， 因 
此 以 太 网 中 传输 的 任何 数据 实际 都 是 公开 的 。 一 般 情况 下 网 卡 会 简单 地 丢弃 不 是 发 给 自己 
的 以 太 网 帧 ， 但 是 要 知道 这 并 不 是 在 硬件 上 设置 的 ， 而 仅仅 是 驱动 程序 的 习惯 。 实 际 上 ， 
一 切 以 太 网 卡 都 可 以 设置 成 不 区 分 目标 MAC 而 直接 记录 所 有 听 到 的 以 太 网 帧 的 工作 方 
式 ， 这 样 ， 如 果 你 愿意 ， 可 以 用 程序 得 到 所 有 本 域内 传输 的 数据 。 当 然 ， 这 要 求 程序 绕 过 
TCP/IP 堆栈 和 网 卡 直 接 打 交道 ， 这 种 工作 方式 叫做 “混杂 模式 ”。 

上 面 说 的 在 现代 以 太 网 中 稍微 有 点 改变 。 为 了 提高 以 太 网 的 工作 效率 ， 用 来 连接 网 络 
双 绞 线 的 除了 集线器 之 外 还 有 交换 机 。 交换 机 的 能 力 比 集线器 强 些 , 它 除了 补偿 信号 之 外 ， 
还 要 辨认 以 太 网 帧 的 目标 地 址 ， 并 且 送 到 正确 的 目的 地 。 换 句 话 说 ， 以 太 网 帧 现在 不 能 跑 
遍 整个 系统 了 。 交 换 机 还 可 以 暂时 存储 以 太 网 帧 用 来 避 开 网 络 冲 突 。 但 是 很 显然 ， 交 换 
机 最 多 只 能 管 到 自己 的 双 绞 线 插口 (交换 机 端口 )， 所 以 只 要 把 上 面 说 的 “ 域 ” 换 成 交换 机 
端口 ， 其 他 的 仍然 成 立 。 

这 样 ， 在 一 个 以 太 网 内 ， 用 一 个 正确 设计 的 程序 就 可 以 监听 到 别人 发 送 的 信息 ， 这 种 
程序 叫做 “ 嗅 探 器 〈sniffer)”。 现 在 有 很 多 有 效 的 嗅 探 工 具 ， 这 些 工具 可 以 用 来 分 析 网 络 
的 运行 ， 也 可 以 用 作 专 门 的 窃听 工具 。 典 型 的 有 tcpdump 和 sniffit 等 。 当 然 ， 这 种 程序 做 
的 事情 还 要 更 复杂 一 些 , 它 们 能 够 自己 完成 从 以 太 网 帧 重组 TCP/IP 数据 包 的 工作 ,如 sniffit 
甚至 还 能 自动 过 滤 传 送 的 文本 信息 ， 如 密码 等 。 

监听 / 嗅 探 的 问题 其 实 不 仅 限于 以 太 网 ， 因 为 TCP/IP 是 分 层 的 ， 因 此 ， 设 置 在 路 由 上 
的 监听 程序 毫 无 疑问 可 以 听 到 所 有 通过 它 的 信息 。 这 也 是 一 种 监听 方式 ， 虽 然 实 际 的 例子 
不 多 。 


2, SSL 


容易 看 出 ,监听 嗅 探 问 题 在 以 太 网 的 层次 上 是 没 法 解决 的 , 只 能 从 另 一 个 角度 去 解决 。 
事实 上 监听 的 主要 目的 是 了 解 对 方 传输 的 信息 内 容 ， 特 别 是 对 于 WWW、MAIL、FTP 和 
TELNET 等 协议 ， 其 中 很 多 东西 是 简单 文本 传输 。 解 决 问题 最 基本 的 思路 是 将 要 传输 的 数 
据 加 密 ， 然 后 再 送 入 TCP/IP， 这 样 即使 窃听 者 听 到 了 所 有 的 信息 ， 它 仍然 无 法 解读 这 些 信 
息 到 底 是 什么 。 

这 种 思路 的 基本 框架 和 前 面 讨论 的 PGP 系统 很 类 似 , 首先 要 实现 一 个 交换 证 书 的 体系 
(认证 中 心 )， 用 来 证 明 访问 的 目标 和 自身 的 身份 是 可 靠 的 (由 于 IP 和 DNS 欺骗 的 存在 ， 
确保 你 访问 的 站 点 是 你 认为 正在 访问 的 站 点 是 非常 必要 的 )。 目 前 这 方面 已 经 有 了 一 个 标准 
框架 ， 称 为 PKI (Public Key Infrastructure)。 然 后 ， 传 输 的 数据 使 用 数据 加 密 和 数字 签名 ， 
保证 传输 信息 的 可 靠 性 和 可 信 性 。 

由 于 大 部 分 网 络 上 数据 的 传输 是 通过 HTTP 协议 完成 的 ， 而 这 个 协议 也 最 容易 受到 监 
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听 ， 所 以 Netscape 发 明了 一 个 称 为 SSL (Secure Socket Layer， 安 全 套 接 层 协议 ) 的 协议 来 
强化 HTTP 的 安全 性 。 它 实际 是 基于 socket 的 ， 安 装 在 传输 层 和 应 用 层 之 间 ， 可 以 提供 数 
据 的 加 密 传输 。 但 是 ， 它 并 不 包含 数据 签名 功能 ， 后 者 需要 浏览 器 另外 实现 。 利 用 SSL 进 
行 WWW 传输 的 协议 有 个 专门 的 名 字 ， 叫 做 HTTPS，SSL 一 共有 三 个 版 本 。 

先 来 简单 介绍 一 下 SSL 的 工作 原理 。 当 一 个 客户 试图 和 服务 器 对 话 的 时 候 ， 它 首先 要 
执行 一 个 握手 过 程 ; 客户 将 一 些 配置 信息 〈SSL 版 本 号 、 使 用 的 加 密 算 法 及 一 些 随机 数据 ) 
发 送 给 服务 器 ， 同 样 ， 服 务 器 响应 的 时 候 要 把 自己 的 SSL 版 本 号 、 加 密 算 法 、 随 机 数据 和 
证 书 〈 证 明 自 己 身 份 的 信息 ) 传送 给 客户 ， 除 此 之 外 ， 服 务 器 还 要 传送 一 个 用 自己 的 私 用 
密 钥 传送 的 问候 信息 (SERVER-HELO )。 

证 书 是 什么 呢 ? 简单 地 说 就 是 一 组 数据 ， 里 面 至 少 存放 两 件 东西 : 某 个 服务 器 的 身份 
信息 和 它 的 公用 密 钥 。 这 个 证 书 必须 通过 其 他 的 手段 发 送 给 用 户 一 一 除非 你 直接 相信 某 个 
服务 器 ， 那 就 是 这 个 服务 器 自己 给 自己 发 证 书 了 。 一 般 的 证 书 发 送 是 通过 一 些 著名 的 专业 
证 书 发 送 机 构 〈 认 证 中 心 ) 来 完成 的 ， 认 证 中 心 用 分 级 体系 ， 有 一 些 最 高 级 别 的 认证 中 心 
叫做 root CA， 它 们 负责 给 其 他 的 认证 中 心 发 证 书 ， 然 后 下 属 的 认证 中 心 再 给 网 络 上 其 他 
的 单位 发 证 书 。 

客户 得 到 证 书 之 后 ， 去 认证 中 心 取得 服务 器 的 公开 密 钥 , 然后 解密 SERVER-HELO 信 
息 。 如 果 成 功 ， 说 明 对 方 的 私 用 密 钥 正确 ， 身 份 无 误 ; 否则 ， 对 方 就 是 假冒 的 。 

然后 , 客户 需要 用 已 经 产生 的 随机 数据 产生 一 个 信息 , 然后 用 服务 器 的 公 钥 对 它 加 密 ， 
结果 送 给 服务 器 。 服 务 器 解密 之 后 ， 就 得 到 了 对 应 的 信息 。 双 方 利 用 这 个 信息 进行 协商 ， 
得 出 master key。 

最 后 ， 双 方 用 master key 产生 出 通话 的 密码 ， 这 可 以 通过 任何 算法 完成 ， 因 为 由 于 有 
变换 算法 存在 ， 不 需要 相互 通话 。 得 到 通话 密码 之 后 ， 以 后 的 数据 传输 都 可 以 用 这 个 密码 
使 用 对 称 单 密 钥 加 密 算法 完成 ， 双 方 只 要 传递 密 文 就 可 以 了 。 

总 之 ， 用 非 对 称 加 密 算法 产生 和 交换 密码 ， 用 对 称 算法 传递 信息 。 

SSL 因为 是 Netscape 开发 的 ， 所 以 最 早 的 实现 也 是 Netscape 完成 的 。Netscape 关于 
SSL 服务 的 库 称 为 SSL-Toolkit。 不 过 实际 上 大 家 用 的 更 多 的 是 一 个 名 叫 openssl (也 叫 
ssleay) 的 库 。 这 个 库 系统 可 以 从 www.openssl.org 取得 。 

为 了 使 用 SSL， 服 务 器 程序 必须 支持 SSL 和 HTTPS。 最 主要 的 页 面 服务 器 Apache 包 
会 两 个 支持 SSL 的 附加 计划 ， 一 个 为 Apache-SSL， 它 集成 了 Apache 服务 器 和 SSL; 另 一 
个 为 Apachetmod_ssl， 它 是 通过 可 动态 加 载 的 模块 mod_ssl 来 支持 SSL。 


3，SSH 


SSH 是 一 个 用 来 解决 TELNET/FTP 协议 安全 性 的 工具 , 它 支 持 两 种 协议 ;SSH 和 SFTP， 
简单 地 说 就 是 telnet 和 FTP 的 加 密 传输 版 本 。 

SSH 协议 有 两 个 版 本 ， SSH1 和 SSH2， 两 者 的 功能 基本 是 一 样 的 ， 不 过 算法 不 兼容 。 
需要 明确 地 选择 SSH1 或 者 SSH2 作为 通信 方式 。 无 论 哪 一 种 ， 都 提供 两 种 级 别 的 安全 
验证 。 
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(1) 基于 口令 的 安全 验证 ， 也 就 是 一 个 加 密 传输 的 telnet。 所 有 传输 的 数据 都 会 
被 加 密 ， 只 要 给 出 用 户 名 和 口令 ， 就 可 以 连接 到 系统 ， 其 他 方面 也 和 telnet 完全 一 样 。 

(2) 基于 密 钥 的 安全 验证 。 需 要 准备 一 对 密 钥 ， 如 果 要 连接 到 SSH 服务 器 上 ， 客 户 端 
软件 就 会 向 服务 器 发 出 请 求 ， 请 求 用 密 钥 进 行 安全 验证 。 服 务 器 收 到 请 求 之 后 ， 先 在 该 
服务 器 的 主 目录 下 寻找 你 的 公用 密 钥 ， 然 后 把 它 和 你 发 送 过 来 的 公用 密 钥 进行 比较 。 如 果 
两 个 密 钥 一 致 ， 服 务 器 就 用 公用 密 钥 加 密 “ 质 询 〈challenge)” 并 把 它 发 送 给 客户 端 软件 ， 
客户 端 软件 收 到 “质询 ”之 后 就 可 以 用 你 的 私人 密 钥 解密 再 把 它 发 送 给 服务 器 。 用 这 种 方 
式 不 需要 在 网 络 上 传送 口令 。 

SSH 保证 了 telnet 命令 的 加 密 传输 ， 除 此 之 外 ，SSH 还 支持 scp 命令 。 

scp 命令 格式 如 下 。 


scp 本 地 文件 ”远程 账号 6 远程 主机 名 


这 个 命令 用 来 把 本 地 机 器 上 当前 目录 下 的 本 地 文件 复制 到 远程 主机 对 应 账号 的 宿主 
目录 中 。 

另外 ，SSH 的 具体 实现 中 ， 还 包括 一 个 加 密 的 FTP 协议 ， 称 为 SFTP。 它 的 基本 结构 
和 FTP 相同， 但 是 所 有 传输 数据 都 是 加 密 的 ， 而 且 允 许 远程 运行 服务 器 上 的 程序 。 

另外 ， 作 为 一 种 安全 工具 ，SSH 还 可 以 在 系统 之 间 建 立 加 密 传输 通道 ， 从 而 为 本 来 不 
安全 的 协议 提供 附加 的 安全 性 。 

SSH 本 身 是 个 商业 软件 ， 不 过 也 有 对 应 的 免费 开放 实现 ， 可 以 从 www.openssh.com 下 
载 ， 这 是 一 个 基于 openssl 的 SSH 软件 实现 。 


4. VPN 


监听 并 不 一 定 发 生 在 以 太 网 中 ， 整 个 Intemet 都 是 没有 安全 性 保护 的 ， 你 的 信息 可 能 
在 任何 一 个 地 方 遭 到 窃听 或 者 算 改 。 上 面 讨论 的 SSL 和 SSH 都 是 在 应 用 层 解决 问题 的 办 
法 , 这 种 办 法 尽管 基本 上 是 可 靠 的 , 但 是 却 要 求 应 用 程序 被 完全 重 写 以 便 支持 SSL 和 SSH。 

TCP/IP 的 分 层 结构 提供 了 另外 一 种 解决 思路 。 事 实 上 TCP/IP 并 不 考虑 信息 的 物理 传 
输 ， 实 际 上 是 个 “ 虚 ” 协 议 ， 可 以 在 任何 数据 传输 技术 上 运行 ， 甚 至 可 以 将 其 他 某 种 网 络 
协议 作为 TCP/IP 的 物理 传输 信道 ， 这 就 是 所 谓 的 “隧道 ”。 当 用 另 一 个 TCP/IP 来 实现 
隧道 并 且 对 其 传输 的 数据 进行 加 密 的 时 候 ， 就 构成 了 虚拟 专用 网 (VPN) 的 基本 框架 。 

虚拟 专用 网 被 定义 为 通过 一 个 公用 网 络 〈 通 常 是 因特网 ) 建立 一 个 临时 的 、 安 全 的 连 
接 。 它 在 因特网 的 一 些 机 器 (或 者 子 网 ) 之 间 建 立 一 个 虚拟 连接 ， 使 得 这 些 机 器 看 上 去 就 
像 是 处 在 一 个 独立 的 网 络 中 ， 其 他 系统 无 法 加 入 。 虚 拟 专用 网 可 以 帮助 远程 用 户 、 公 司 分 
支 机构 、 商业 伙伴 及 供应 商 与 公司 的 内 部 网 建立 可 信 的 安全 连接 , 并 保证 数据 的 安全 传输 。 
它 能 提供 如 下 功能 : 

。 加 密 数 据 : 保证 通过 公 网 传输 的 信息 即使 被 他 人 截获 也 不 会 泄露 。 

。 信息 认证 和 身份 认证 ; 保证 信息 的 完整 性 、 合 法 性 ， 并 能 鉴别 用 户 的 身份 。 

。 提供 访问 控制 ， 不 同 的 用 户 有 不 同 的 访问 权限 。 

目前 , 可 以 用 来 实现 VPN 技 术 的 标准 协议 主要 有 Microsoft 的 PPTP( 点 对 点 隧道 协议 )， 
IETF 的 IPsec (Intemet 安全 协议 ) 和 NEC 的 socks5。PPTP 基本 上 就 是 一 个 加 密 的 PPP 协 
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议 , 首先 , IP 包 被 按照 一 般 PPP 拨 入 的 方法 封装 进 PPP 包 , 然后 将 报 文 装 入 PPTP 隧道 包 ， 
最 后 整个 隧道 包 被 嵌入 IP 报 文 或 者 其 他 任何 一 种 通信 协议 中 。 在 用 户 看 来 ， 这 个 VPN 连 
接 和 直接 通过 拨号 建立 一 个 PPP 连接 没有 什么 不 同 ， 所 以 用 起 来 很 方便 , 特别 是 Microsoft 
已 经 把 它 作为 标准 路 由 软件 的 一 部 分 ， 因 此 几乎 可 以 在 任何 系统 上 使 用 。 不 过 ， 因 为 真正 
的 连接 是 在 瑟 帧 上 做 的 ， 所 以 在 连接 认证 方面 不 是 非常 可 靠 。 

在 Linux 上 ， 纯 粹 的 PPTP 做 法 并 不 多 ， 有 一 个 非 标准 的 方式 和 PPTP 很 相似 ， 即 同样 
采用 PPP 封包 作为 通信 方式 ， 但 是 PPP 封包 通过 SSH 的 加 密 通道 传送 。 这 个 方法 比较 简 
单 ， 而 且 实现 起 来 很 容易 ， 详 细 的 内 容 可 以 参考 王波 编著 的 《freebsd 实用 大 全 》 一 书 。 

IPSec 是 IETF〈 因 特 网 工程 任务 组 ) 于 1998 年 11 月 公布 的 人 P 安全 标准 。 其 目标 是 为 
IPv4 和 IPv6 提供 具有 较 强 的 互 操 作 能 力 、 高 质量 和 基于 密码 的 安全 。IPSec 对 于 IPv4 是 
可 选 的， 对 于 IPv6 是 强制 性 的 。 

IPSec 在 瑟 层 上 对 数据 包 进 行 高 强度 的 安全 处 理 ， 提 供 数据 源 的 验证 、 无 连接 数据 完 
整 性 、 数 据 机 密 性 、 抗 重播 和 有 限 业务 流 机 密 性 等 安全 服务 。 各 种 应 用 程序 可 以 享用 IP 层 
提供 的 安全 服务 和 密 钥 管理 ， 而 不 必 设 计 和 实现 自己 的 安全 机 制 ， 因 此 减少 了 密 钥 协商 的 
开销 ， 也 降低 了 产生 安全 漏洞 的 可 能 性 。IPSec 可 连续 或 递归 应 用 ， 在 路 由 器 、 防 火 墙 、 
主机 和 通信 链 路 上 配置 ， 实 现 端 到 端 安全 、 虚 拟 专用 网 络 和 安全 隧道 技术 。 

需要 指出 的 是 ，IPsec 还 是 一 个 完善 中 的 设计 体系 ， 而 且 往往 需要 专门 的 硬件 设计 。 构 
造 一 个 基于 IPsec 的 VPN 这 样 的 任务 ， 已 经 超出 了 本 书 的 范围 ， 详 细 的 内 容 请 参考 IPsec 
的 有 关 技 术 文档 。 另 外 ， 目 前 有 一 个 基于 IPsec 的 免费 Linux 软件 VPN 实现 ， 称 为 
FreeS/WAN， 可 以 从 www.freeswanorg 下 载 ， 可 以 实现 VPN 的 基本 支持 ， 可 以 根据 它 来 实 
现 自己 的 VPN 系统 。 

最 后 一 种 与 VPN 有 关 的 协议 是 socks V5， 是 NEC 开发 的 ， 可 以 和 其 他 加 密 协 议 一 起 
实现 VPN 的 功能 。 


5.2.2 网络 层 


现在 来 了 解 一 下 与 卫 定位 /路 由 、 信 息 传播 相关 的 协议 的 弱点 。 路 由 协议 是 Internet 
的 核心 ， 它 用 来 定位 某 个 数据 包 应 该 传送 到 何 处 ， 以 及 某 一 台 机 器 位 于 什么 地 方 。 人 P 定义 
了 一 台 机 器 的 身份 ， 而 路 由 路 径 给 出 了 传送 数据 报 文 的 路 线 。 遗 憾 的 是 ， 标 准 人 P 层 协议 没 
有 对 这 两 件 事情 做 任何 的 保护 。 


1, ARP 


ARP 即 地 址 解析 协议 ， 用 来 在 一 个 局 部 网 内 找到 和 某 个 IP 地 址 对 应 的 机 器 。 通 常 我 
们 讨论 的 都 是 以 太 网 的 ARP 问题 ， 即 由 人 P 地 址 找到 对 应 的 MAC 地 址 。 这 是 通过 广播 一 
应 答 技术 实现 的 , 假设 某 主 机 想 和 与 自己 同 子 网 的 机 器 通信 , 例如 202.14.0.3 一 202.14.0.7， 
它 将 使 用 以 太 网 提供 的 硬件 广播 功能 , 广播 一 个 数据 包 , 其 内 容 包 括 自己 的 他 地 址 MAC 
地 址 及 试图 通信 的 卫 地 址 。 由 于 硬件 广播 可 以 送 到 以 太 网 电气 连接 的 任何 地 方 ， 所 以 
202.14.0.7 如 果 开 着 就 会 接收 到 这 个 数据 包 , 于 是 它 向 202.14.0.3 回 送 一 个 数据 包 (因为 广 
播 包 中 已 经 包含 了 202.14.0.3 的 MAC 地 址 ， 所 以 202.14.0.7 知道 如 何 送 数 据 )， 内 容 将 包 
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会 202.14.0.7 的 MAC 地 址 。 这 样 ， 一 个 “广播 一 应 答 ” 就 确定 了 两 台 机 器 的 MAC 地 址 。 

为 了 提高 效率 ， 每 台 机 器 都 会 在 自己 的 系统 上 维护 一 个 对 照 表 ， 每 当 得 到 一 个 应 答 或 
是 听 到 一 个 地 址 广播 ， 机 器 就 在 自己 的 对 照 表 中 加 入 一 项 ， 这 样 以 后 再 需要 与 相应 地 址 通 
信 时 就 可 以 直接 从 表 中 查 到 MAC 地 址 。 因 为 MAC 到 IP 的 映射 可 能 会 改变 ， 所 以 对 照 表 
被 设 定 为 每 过 一 段 时 间 更 新 一 次 。 

当然 ， 这 就 意味 着 事实 上 在 同一 个 子 网 内 任何 人 都 可 以 通过 发 送 MAC 地 址 声明 来 获 
得 IP 地址 ， 因 此 IP 地 址 是 完全 不 可 靠 的 。 相 应 地 ， 基 于 人 P 地 址 的 认证 ， 可 能 会 受到 恶意 
的 欺骗 。 这 样 的 事情 在 局 域 网 内 是 难以 避免 的 。 

一 个 减 小 这 种 威胁 的 方法 是 建立 MAC/IP 绑 定 机 制 ， 这 需要 在 交换 机 或 者 路 由 器 上 实 
现 。 交 换 机 或 者 路 由 器 维护 静态 的 ARP 列表 同时 随时 监听 ARP 广播 ， 并 对 所 有 可 疑 信息 
进行 警告 ， 拒 绝 转发 MAC 地 址 错误 的 正 报 文 。 

虽然 这 样 的 欺骗 只 能 发 生 在 局 域 网 内 ， 但 是 ， 由 于 路 由 协议 的 一 些 问题 ， 上 述 问 题 至 
少 在 理论 上 是 可 以 扩展 的 。 


2，ICMP 重 定向 


TCP/IP 协议 系统 中 , 为 了 能 够 判断 远程 主机 的 可 达 性 和 活动 状态 ， 定义 了 一 个 名 叫 网 
间 报 文 控制 协议 (Internet Control Message Protocol，ICMP)， 它 是 IP》 协 议 的 附属 协议 ，IP 
层 用 它 来 与 其 他 主机 或 路 由 器 交换 错误 报 文 和 其 他 重要 控制 信息 。ICMP 报 文 是 在 卫 数据 
报 内 部 被 传输 的 ， 主 要 用 来 对 系统 中 的 错误 进行 分 析 和 控制 。 

ICMP 协议 本 身 并 不 复杂 ， 常 用 的 ping 命令 就 是 使 用 发 送 一 个 ICMP echo 报 文 检查 回 
应 的 方式 来 工作 的 。 为 了 调试 的 方便 ， 大 部 分 机 器 都 会 回应 ICMP 报 文 ， 从 而 可 以 用 ping 
命令 检查 它 的 活动 状态 。 

由 于 历史 的 原因 ， 许 多 系统 对 ICMP 包 规定 了 一 个 尺寸 上 限 ， 一 般 是 在 64KB 左右 。 
当 操作 系统 接收 到 ICMP 报 文 的 时 候 , 需要 按照 报 文 标题 中 的 尺寸 信息 来 分 配 TCP/IP 缓冲 
区 。 如 果 接 收 到 一 个 错误 或 者 畸形 的 ICMP 报 文 ， 其 中 的 尺寸 信息 是 错误 的 ， 例 如 超出 了 
64KB， 缓 冲 区 分 配 就 可 能 出 现 问题 ， 严 重 的 情况 下 会 导致 TCPJP 栈 崩溃 。 这 就 是 Ping of 
Death (PoD) 攻击 。 

但 是 直接 发 送 一 个 巨大 的 ICMP 数据 包 很 容易 被 路 由 过 滤 掉 ， 更 简单 的 办 法 是 直接 向 
主机 发 送 一 个 ICMP“ 碎 片 ”。 这 个 概念 大 致 是 这 样 的 ; 以 太 网 本 身 必 须 把 数据 拆 成 以 太 网 
帧 ， 大 小 大 约 是 1.5KB， 所 以 任何 大 的 数据 报 文 都 会 被 拆 开 ,分 别 封装 入 各 个 以 太 网 帧 中 ， 
这 些 帧 叫做 碎片 。 接 到 最 后 一 片 之 后 ， 卫 协议 将 它们 重组 成 IP 报 文 。 现 在 考虑 一 下 ， 如 
果 发 送 一 个 自称 是 最 后 一 片 的 ICMP 碎片 会 如 何 呢 ? 很 简单 ， 接 收 主机 会 试图 去 重组 这 个 
ICMP 报 文 ， 如 果 碎 片 来 得 够 多 够 大 ， 接 收 主机 就 会 疲 于 不 存在 的 重组 ， 最 终 所 有 CPU 时 
间 都 被 耗 尽 。 与 前 面 比较 简单 的 PoD 不 同 ， 这 个 发 送 过 程 几乎 不 占 发 送 者 的 带宽 ， 却 可 以 
让 接收 者 骨 溃 。 

事实 上 ，ICMP echo 回应 除了 检查 机 器 是 否 开 着 以 外 ， 并 没有 太 实 际 的 用 处 ， 因 此 许 
多 系统 直接 把 这 个 功能 关 掉 ， 避 免 意外 的 问题 出 现 。 

Ping of Death 还 有 一 个 非常 厉害 的 变形 ， 称 为 Smurf 攻击 ， 它 基本 上 就 是 一 个 ping 命 
令 ， 它 的 目标 地 址 是 一 个 网 络 广播 地 址 ， 而 源 地 址 被 冒充 为 将 被 攻击 的 目标 机 器 。 这 样 ， 整 
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个 网 络 的 机 器 都 会 向 冒充 的 源 地 址 发 送 echo 回应 , 而 一 般 来 说 ICMP echo 的 优先 级 高 于 任 
何其 他 服务 ， 那 么 对 应 源 地 址 主机 就 会 忙于 应 付 所 有 的 ICMP echo 而 失去 网 络 响应 。 

除 此 之 外 ，ICMP 也 容易 受到 其 他 DoS (拒绝 服务 ) 类 型 的 攻击 。 这 是 由 于 ICMP 还 
用 来 发 送 路 由 重 定 向 报 文 。 简 单 地 说 ， 就 是 用 来 修正 路 由 表 为 指向 特定 主机 的 数据 包 提 供 
单独 的 路 由 路 径 的 报 文 。 通 常客 户主 机 接 到 这 种 报 文 之 后 , 会 在 自己 的 路 由 表 中 增加 一 项 。 
当 这 样 的 报 文 非常 多 的 时 候 ， 可 能 导致 路 由 表 内 存 耗 尽 或 者 搜索 路 由 表 失 败 。 但 由 于 实现 
的 问题 ， 这 种 技术 在 Windows 系列 上 较为 常见 ， 而 在 Linux 上 成 功 的 几率 不 高 。 

路 由 重 定向 功能 还 可 能 导致 另外 一 个 攻击 手段 ， 即 外 网 机 器 冒充 本 地 IP， 这 是 通过 向 
路 由 和 目标 发 送 虚 假 的 重 定向 报 文 ， 导 致 本 地 机 器 的 路 由 表 被 欺骗 实现 的 。 不 过 这 种 攻击 
目前 很 少 看 到 报道 。 

卫 地址 欺骗 是 一 个 比较 复杂 的 问题 , 涉及 TCP/IP 协议 的 很 多 问题 ， 同 时 还 涉及 Linux 
系统 固有 服务 的 一 些 设 计 。 简 单 地 说 ，IP 欺骗 本 身 并 不 是 一 个 安全 问题 ， 它 仅仅 是 某 一 台 
主机 冒充 成 另外 一 台 主机 而 已 。 然 而 ，Linux 系统 服务 中 许多 服务 的 身份 认证 是 基于 IP 地 
址 的 。 这 种 情况 下 ，IP 欺骗 可 以 成 为 一 种 有 效 的 攻击 手段 。 

最 重要 的 情况 发 生 在 r 命 令 中 , 在 后 面 会 看 到 ，Linux 系统 的 命令 是 基于 主机 之 间 的 
信任 关系 的 ， 因 此 IP 欺骗 的 成 功 就 使 得 进攻 者 获得 了 所 有 的 r 权 限 。 


3. IGMP 组 播 


IGMP 目前 还 是 一 个 处 于 实验 阶段 的 协议 , 提供 Internet 网 际 多 点 传送 的 功能 ， 即 将 一 
个 他 包 的 副本 传 给 多 个 目标 主机 。 客 户 机 器 接收 到 IGMP 消息 , 标准 响应 方式 是 将 这 个 消 
息 报 文 再 传送 给 别 的 组 内 机 器 ,在 Windows 系列 系统 中 ， 由 于 实现 上 的 缺陷 ， 这 个 过 程 很 
容易 导致 TCP/IP 栈 骨 省。 相对 来 说 ，Linux 发 生 这 种 问题 的 情况 不 多 。 然 而 即使 如 此 ， 这 
仍然 是 一 个 容易 遭受 攻击 的 弱点 ， 通 常用 在 内 核 中 禁止 IGMP 组 播 的 办 法 来 消除 这 个 安全 


5.2.3 ”传输 层 


1.UDP 拒绝 服务 攻击 


TCP/IP 协 议定 义 了 两 个 基本 的 数据 传输 协议 ,一 个 是 面向 连接 的 传输 控制 协议 (TCP)， 
一 个 是 面向 无 连接 的 直接 数据 传送 的 用 户 数 据 报 文 协 议 (UDP)。 其 他 任何 上 层 数据 传输 都 
只 要 以 其 中 一 个 为 基础 。 

单纯 传输 层 的 攻击 主要 是 针对 这 两 个 协议 的 堆栈 缓冲 区 ， 也 就 是 通过 发 送 不 合法 的 或 
者 特殊 的 数据 ， 以 及 攻击 协议 的 具体 实现 ， 导 致 系统 出 错 或 者 崩溃 。 和 前 面 讲 的 Ping of 
Death 一 样 ， 它 们 都 属于 DoS 〈 拒 绝 服务 ) 范畴 。 相 对 来 说 ，UDP 协议 因为 是 无 连接 的 ， 
所 有 的 解码 和 纠 错 等 操作 都 在 应 用 程序 中 实现 ， 更 加 容易 遭 到 拒绝 服务 攻击 。 

事实 上 , 拒绝 服务 攻击 是 所 有 攻击 方式 中 最 难 对 付 的 一 种 , 特别 是 在 传输 层 的 DoS 攻 
击 ， 从 原理 上 说 几乎 是 无 法 杜绝 的 。 近 年 来 ， 由 于 分 布 式 Dog 攻击 的 存在 ， 即 使 是 最 简单 
的 DoS 攻击 也 可 能 打垮 一 切 系统 。 例 如 ，2000 年 2 月 , 全 球 各 大 ISP 几乎 同时 遭 到 分 布 式 
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DoS 攻击 ，Yahoo!、 新 闻 网 站 CNN、Amazon 和 eBay 等 在 分 布 式 DoS 下 全 部 瘫痪 ， 服 务 
器 连续 十 几 个 小 时 无 法 工作 ， 造 成 高 达 12 亿美 元 的 经 济 损失 。 

最 简单 的 UDP 拒绝 服务 是 通过 造成 UDP 风暴 来 完成 的 ， 简 单 地 说 ， 就 是 向 目标 主机 
发 送 无 数 的 UDP 包 ， 直 到 对 方 瘫痪 为 止 。 事实 上 这 时 候 还 可 能 导致 男 外 的 效果 ， 即 耗 尽 目 
标 网 络 中 的 网 络 带 宽 。 当 然 ， 由 于 带宽 限制 ， 这 种 攻击 一 般 都 使 用 分 布 攻 击 的 办 法 。 最 典 
型 的 例子 是 UDP flood， 它 的 做 法 非常 简单 ; 首先 取得 某 台 机 器 的 控制 权 ， 然 后 伪造 与 
某 一 主机 的 Chargen 服务 之 间 的 一 次 UDP 连接 , 回复 地 址 指向 开 着 echo 服务 的 一 台 主机 ， 
当然 echo 服务 又 会 自动 回应 , 这 样 就 生成 在 两 台 主 机 之 间 的 大 量 的 无 用 数据 流 ， 如 果 生 成 
了 足够 多 的 数据 流 ， 那 么 整个 网 络 的 带宽 都 被 耗 尽 。 

稍微 复杂 一 点 的 攻击 是 使 用 目标 操作 系统 的 缺陷 。 因 为 UDP 是 完全 使 用 用 户 验 证 的 ， 
因此 可 以 用 错误 或 者 畸形 的 UDP 数据 包 导 致 目标 机 器 的 验证 出 错 。 例 如 , 发 送 0 字 节 UDP 
数据 包 和 UDP 碎片 〈 参 考 前 面 讨 论 的 ICMP 碎片 攻击 ) 都 曾经 是 非常 有 效 的 DoS 攻击 方 
式 。 其 中 最 出 名 的 是 tear-drop 攻击 , 简单 地 说 , 它 也 是 一 种 碎片 攻击 , 但 是 它 利 用 了 Linux/ 
Windows 体系 TCP/IP 栈 代码 中 的 一 个 错误 ， 使 得 当 操作 系统 重组 IP 包 的 时 候 ， 将 包 的 长 
度 计算 为 负数 ， 这 样 就 会 使 得 TCP/IP 栈 复制 过 多 的 数据 进入 内 核 ， 因 为 OS (操作 系统 ) 
本 身 不 能 正确 理解 负数 ， 而 是 将 负数 转换 为 巨大 的 无 符号 数 。 本 质 上 说 ， 这 类 攻击 只 不 过 
是 利用 了 操作 系统 的 漏洞 , 只 要 修改 相应 的 代码 就 可 以 堵 住 , 但 是 由 于 UDP 处 理 在 TCP/IP 
栈 中 的 实现 很 复杂 ， 难 免 有 各 种 各 样 的 漏洞 存在 ， 因 此 UDP 攻击 成 为 DoS 中 难以 对 付 的 
问题 之 一 。 

2，TCP 拒绝 服务 攻击 


相对 来 说 ，TCP 的 设计 比 UDP 复杂 、 精 巧 一 些 ， 然 而 仍然 存在 一 些 严重 的 问题 ， 其 
中 最 主要 的 问题 和 TCP 连接 建立 时 的 握手 协议 有 关 。 

正常 的 一 个 TCP 连接 需要 连接 双方 进行 三 个 动作 ， 即 “三 次 握手 ”， 其 过 程 如 下 ; 请 
求 连接 的 客户 机 首先 将 一 个 带 SYN 标志 位 的 包 发 给 服务 器 ; 服务 器 收 到 这 个 包 后 产生 一 
个 自己 的 SYN 标志 ， 并 把 收 到 包 的 SYN+1 作为 ACK 标志 返回 给 客户 机 ;客户 机 收 到 该 
包 后 ， 再 发 一 个 ACK=SYN+1 的 包 给 服务 器 。 经 过 这 三 次 握手 ， 连 接 才 正式 建立 。 在 服务 
器 向 客户 机 发 返回 包 时 ， 它 会 等 待 客户 机 的 ACK 确认 包 ， 这 时 这 个 连接 被 加 到 未 完成 连 
接 队列 中 ， 直 到 收 到 ACK 应 答 后 或 超时 才 从 队列 中 删除 。 

因为 有 这 样 的 握手 过 程 ， 所 以 攻击 者 可 以 构造 出 非常 严厉 的 攻击 手段 ， 其 中 之 一 是 
synflood。 

synflood 又 称 半 开 式 连接 攻击 , 简单 讲 就 是 攻击 者 制造 一 个 具有 虚假 源 地 址 的 SYN 握 
手 请 求 包 ， 于 是 服务 器 向 对 应 的 源 地 址 发 送 返回 包 。 但 是 由 于 这 里 的 源 地 址 是 虚假 的 ， 所 
以 服务 器 不 会 得 到 最 终 的 ACK 确认 应 答 。 因 此 这 个 连接 请 求 将 会 被 放 入 请 求 队列 ， 直 到 
超时 。 

由 于 TCP/IP 请 求 队列 是 有 限 的 ， 如 果 来 的 synflood 请 求 包 太 多 ， 整 个 请 求 队列 就 会 
被 这 样 的 等 待 请求 塞 满 ， 从 而 使 TCP/IP 失去 响应 ， 这 就 是 所 谓 的 synflood 攻击 。 

实际 上 , 在 标准 TCP/IP 框架 内 ，synflood 是 不 可 能 真正 解决 的 ， 只 有 适当 更 改 TCP/IP 
握手 方式 才能 解决 问题 。 最 简单 的 解决 思路 是 在 TCP/IP 队列 满 的 时 候 随机 地 抛弃 几 个 党 
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未 应 答 的 ACK 请 求 ， 这 样 可 以 保证 系统 至 少 有 一 个 最 小 响应 能 力 。 这 种 办 法 被 许多 操作 
系统 使 用 。 而 Linux 使 用 了 来 自 BSD 的 另外 一 个 思路 ， 即 算 改 握手 规则 。 服 务 器 应 答 SYN 
包 时 把 SYN 包 中 的 少量 数据 保存 在 栈 中 ， 在 SYN-ACK 包 中 把 大 部 分 数据 传 回 给 发 送 者 ， 
发 送 者 再 在 TCP-ACK 中 把 数据 送 回 建立 连接 。 这 个 技术 可 以 基本 上 避免 synflood， 但 缺 
点 是 这 样 做 修改 了 标准 的 TCP 握手 准则 ， 可 能 带 来 兼容 性 问题 。 

使 用 syncookies 技术 需要 在 编译 内 核 的 时 候 启 用 TCP_SYN_cookies 功能 , 然后 在 启动 
脚本 中 使 用 如 下 的 行 ; 


echo 1 > /proc/sys/net/ipv4/tcp_syncookies 
注意 ; 使 用 syncookies 可 能 带 来 一 些 意 想 不 到 的 问题 ， 需 要 认真 阅读 内 核 技 术 文档 。 


Land 攻击 是 另外 一 种 基于 TCP 的 DoS 攻击 技术 。 简 单 地 说 ， 它 发 送 一 个 源 地 址 与 目 
标 地 址 一 样 的 数据 包 。 在 握手 请 求 的 SYN 包 中 源 地 址 和 目标 地 址 都 被 设置 成 目标 主机 地 
址 ， 这 时 将 导致 目标 主机 向 它 自己 的 地 址 发 送 SYN-ACK 消息 ， 结 果 这 个 地 址 又 发 回 
ACK 消息 并 创建 一 个 空 连接 ,每 一 个 这 样 的 连接 都 将 保留 直到 超时 。 这 样 ， 很 快 就 可 以 使 
TCP/IP 栈 耗 尽 。 这 种 技术 可 以 使 许多 UNIX/Linux 系统 骨 溃 ， 对 于 Windows NT 则 会 导致 
系统 运行 得 极度 缓慢 。 解 决 的 方法 也 很 简单 ， 只 要 增加 相应 的 内 核 补丁 就 可 以 了 。 


5.2.4 应 用 层 


各 种 具体 的 网 络 应 用 都 可 能 成 为 攻击 的 目标 。 这 里 面 有 两 种 可 能 的 情况 ， 一 种 是 协议 
本 身 就 缺乏 安全 性 ， 另 一 种 则 是 实现 协议 的 程序 可 能 存在 各 种 各 样 的 漏洞 。 前 者 比如 NFS 
和 电子 邮件 协议 ， 后 者 则 与 具体 的 编码 有 关 。 


1，RPC 和 NFS 相关 服务 


RPC 即 远程 过 程 调 用 ， 是 Sun 发 明 的 用 来 在 远程 主机 上 执行 特定 任务 的 一 种 协议 。 在 
一 般 体系 中 ， 通 过 portmap 和 几 个 RPC 服务 进程 实现 (如 mpc.statd、rpc.mountd 等 )。 

由 于 代码 实现 的 问题 ，RPC 的 几 个 服务 进程 很 容易 遭 到 远程 缓冲 区 溢出 的 攻击 ， 相 当 
多 的 漏洞 和 rpc.statd 有 关 。 

使 用 RPC 的 最 重要 服务 是 NFS， 这 也 是 最 主要 的 容易 产生 安全 性 隐患 的 服务 之 一 。 

NFS 是 Sun 发 明 的 用 来 在 UNIX 系统 之 间 共 享 文件 的 一 种 服务 协议 ， 实 际 就 是 将 某 个 
UNIX/Linux 机 器 的 一 个 目录 共享 出 来 ， 由 其 他 机 器 直接 使 用 。 共 享 的 动作 称 为 “输出 
Cexport)”。 例 如 ，hostl 机 器 的 mydoc 目录 可 以 被 输出 ， 然 后 host2 机 器 的 管理 员 将 它 连 接 
到 /hostl/mydoc 目录 下 ， 以 后 host2 对 这 个 目录 的 操作 自动 转化 为 对 hostl 上 相应 目录 的 操 
作 。 技 术 上 ， 通 常用 UDP 协议 来 实现 NFS 的 数据 传输 。 

NFS 的 主要 安全 性 隐患 在 于 用 户 权限 。 一 个 文件 系统 被 输出 的 时 候 ， 有 两 种 权限 需要 
考虑 : 标准 的 Linux 用 户 权限 和 输出 权限 。 输 出 权限 是 覆盖 在 Linux 用 户 权限 上 的 ， 可 以 
把 一 个 文件 系统 输出 成 只 读 或 者 完全 权限 ， 客 户 机 上 的 用 户 将 按照 相应 Linux 用 户 权限 和 
输出 权限 的 交集 来 取得 权限 。 

可 以 这 样 解释 ; 假设 /ftp 目录 被 输出 ， 我 们 知道 实际 上 每 个 目录 /文件 的 属 主 和 权限 都 
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是 利用 uid 来 定义 的 ， 现 在 假设 /ftp 在 服务 器 上 的 属 主 是 ftp 用户， 其 uid 为 14， 当 被 输出 
到 客户 机 上 时 , 其 uid 是 不 变 的 , 所 以 客户 机 上 uid=14 的 用 户 将 被 认为 是 这 个 目录 的 主人 。 
假如 目录 输出 是 被 设置 成 完全 输出 ， 那 么 剩 下 的 事情 就 和 在 本 地 机 器 上 存 取 没 什么 区 别 。 
如 果 目 录 输 出 的 时 候 是 只 读 , 那么 客户 机 上 所 有 的 用 户 权 限 都 被 限制 ,即使 是 uid=14 的 用 
户 也 只 能 获得 只 读 权限 。 当 然 ， 理 论 上 它 还 是 这 个 目录 的 主人 ， 只 是 不 可 能 修改 这 个 目录 
的 只 读 属性 而 已 。 

很 显然 , 由 于 客户 机 的 uid 映射 是 由 客户 机 的 /etc/passwd 文件 控制 的 , 所 以 实际 上 NFS 
的 Linux 用 户 权限 是 没有 任何 实际 意义 的 。 你 无 法 禁止 客户 机 使 用 超级 用 户 权限 存 取 文件 ， 
从 而 任何 以 NFS 允许 写 方式 共享 出 去 的 文件 系统 都 已 经 失去 了 保护 ， 因 此 ，NFS 本 身 就 不 
是 一 个 安全 的 共享 协议 。 

考虑 到 这 一 点 ， 因 此 一 般 情况 下 ， 尽 量 用 只 读 方 式 共享 文件 系统 ， 这 时 对 方 就 总 不 能 
修改 你 的 数据 。NFS 还 有 一 些 和 squash 相关 的 参数 ， 其 中 最 重要 的 是 root_squash 和 all_ 
squash。 它 们 可 以 把 对 方 的 根 用 户 《 或 者 所 有 用 户 ) 映射 成 为 本 机 的 nobody 用 户 。 

NFS 的 另外 一 个 问题 是 ， 它 是 基于 主机 信任 的 ， 主 机 的 身份 确认 完全 是 由 客户 机 的 地 
址 决定 。 而 前 面 已 经 指出 过 ，IP 地 址 本 身 不 是 一 个 可 以 信任 的 标志 ， 它 可 以 被 伪造 ， 这 对 
于 NFS 是 灾难 性 的 。 然 而 ， 尽 管 人 P 伪装 不 算是 一 个 很 容易 进行 的 攻击 行为 ， 但 是 要 防止 
它 也 几乎 同样 困难 ， 因 为 它 涉及 路 由 器 软件 。 

DNS 的 存在 使 得 NFS 比 刚才 说 的 还 要 脆弱 。 在 NFS 中 可 以 给 出 域名 而 不 是 全 地 址 (其 
实 即 使 给 出 IP， 也 还 是 可 能 出 现 问 题 ， 因 为 有 域名 后 级 搜索 )， 而 域名 到 IP 的 解析 并 不 是 
本 地 完成 的 ， 它 是 DNS 服务 器 的 工作 。 但 是 DNS 服务 器 可 能 被 攻破 ， 从 而 域名 可 能 指向 
不 正确 的 卫 。 

总 之 ,NFS 中 包含 着 不 少 隐藏 的 安全 性 弱点 。 正 因为 如 此 ， 任 何 使 用 NFS 的 系统 都 不 
能 说 是 安全 的 。 


2. 了 命令 


容易 遭受 IP 欺骗 攻击 的 另外 一 组 命令 是 Linux 的 命令 ， 它 们 提供 了 一 组 不 需要 给 出 
用 户 名 和 口令 就 可 以 登录 到 系统 并 且 执 行 对 应 命令 的 方法 ， 主 要 有 rsh、rexec、rlogin 和 
rcp 等 。 

它们 绕 过 用 户 名 和 口令 的 方法 都 是 基于 远程 机 器 之 间 的 互相 信任 。 在 Linux 中 ， 确 定 
这 种 互相 信任 的 文件 有 两 种 ， 一 种 是 全 局 的 信任 文件 /etc/hosts.equiv; 另外 一 种 是 单个 的 对 于 
某 个 用 户 的 信任 文件 ， 这 个 文件 存放 在 每 个 用 户 的 宿主 目录 下， 名字 是 .thosts。 

/etc/hosts.equiv 定义 了 那些 远程 机 器 的 账号 和 本 地 账号 等 价 。 例 如 ， 这 样 的 行 : 


client.yourdomain.com test 


代表 client.yourdomain.com 上 的 test 账号 等 价 于 本 地 机 器 上 的 test 账号 。 同 样 ， 
client.yourdomain.com cook 代表 client 上 的 cook 账号 等 价 于 本 地 账号 cook。 

单个 信任 文件 .rhosts 存放 在 用 户 的 宿主 目录 下 , 格式 与 hosts.equiv 类 似 , 所 不 同 的 是 ， 
这 个 文件 可 以 用 来 定义 不 同 的 用 户 账号 之 间 的 等 价 性 ,因为 其 位 置 是 在 用 户 的 宿主 目录 下 ， 
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所 以 不 需要 给 出 等 价 的 本 地 账号 ， 而 文件 中 写 出 的 账号 名 则 代表 远 端 机 器 的 账号 。 例 如 ， 
在 server 的 userl 用 户 的 宿主 目录 (/home/user1) 下 建立 如 下 的 .rhosts 文件 ; 


host1.Yyourdomain .com userl 
host2.yourdomain.com user2 


这 样 的 文件 意味 着 除了 hostl 上 的 userl 用 户 被 等 价 为 server 的 userl 用 户 之 外 ，host2 
上 的 user2 用 户 也 被 等 价 为 server 的 userl 用 户 。 

不 难看 出 ， 前 面 讨论 的 NFS 安全 性 隐患 ，r 命令 也 全 都 有 。 除 此 之 外 ，F 命令 还 有 另 
外 一 个 严重 的 问题 : 它 可 以 用 来 传递 命令 ， 并 且 传 送 过 程 中 不 加 密 (NFS 也 基本 是 明文 传 
送 ， 不 过 相对 来 说 ， 截 听 NFS 不 是 很 有 价值 )。 

所 有 的 这 些 原因 导致 了 命令 成 为 Linux 系统 中 最 不 可 信赖 和 最 不 安全 的 命令 组 。 庆 
幸 的 是 ， 和 无 法 完全 避免 的 NFS 不 同 ,r 命令 不 是 不 可 替代 的 ，SSH 几乎 可 以 完全 完成 + 
命令 的 功能 ， 同 时 很 好 地 解决 安全 性 问题 。 


3， 电子 邮件 :炸弹 和 身份 认证 


电子 邮件 是 Intemet 中 最 让 人 困惑 的 部 分 一 一 虽然 WWW 很 复杂 ， 但 是 远 不 及 电子 邮 
件 。 除 此 之 外 ， 事实 上 sendmail 的 问题 和 麻烦 很 多 ， 虽然 有 了 一 些 很 好 的 sendmail 代替 程 
序 ， 但 是 SMTP 协议 本 身 的 问题 一 直 没 有 真正 解决 。 

单 从 理论 上 说 ，SMTP 协议 并 不 复杂 ， 它 就 是 一 次 次 邮件 接力 的 过 程 。 当 一 台 计 算 机 
准备 发 送 电子 邮件 的 时 候 ， 它 连接 到 服务 器 的 25 端口 ， 然 后 开始 一 个 邮件 会 话 ， 这 个 过 程 
中 客户 机 必须 给 出 发 送 者 和 接收 者 的 邮件 地 址 。 如 果 服 务 器 认为 这 两 个 地 址 是 “可 以 接受 
的 ”， 那 么 客户 机 将 邮件 内 容 编码 成 ASCII 码 传送 给 服务 器 ， 服 务 器 将 它 保存 在 自身 的 投 
递 队列 里 面 ， 这 样 一 次 邮件 接力 就 完成 了 。 

称 为 邮件 接力 的 原因 是 ， 服 务 器 接 下 来 要 对 邮件 进行 具体 处 理 。 邮 件 的 目标 地 址 通常 

是 服务 器 的 一 个 账号 ， 那 么 邮件 服务 程序 将 会 调用 预 设 的 邮件 分 拒 程 序 ， 将 邮件 送 入 这 个 
账号 的 邮箱 中 ， 这 样 投递 才 完 成 。 也 可 能 邮件 的 目标 地 址 不 在 本 地 ， 那 么 邮件 服务 程序 需 
要 解析 邮件 地 址 得 出 对 应 邮件 地 址 的 服务 主机 ， 然 后 再 一 次 邮件 接力 将 它 投递 到 对 应 的 服 
务 主 机 一 一 这 次 的 投递 由 服务 器 完成 。 也 许 ， 对 应 主机 还 要 进行 下 一 次 投递 接力 ， 这 样 连 
续 地 投递 直到 送 到 最 终 用 户 的 邮箱 中 。 
于 邮件 是 这 样 经 过 重重 接力 投递 过 去 的 (当然 ， 正 常情 况 下 最 多 两 次 )， 所 以 大 部 
分 主机 都 要 完成 不 属于 自己 的 邮件 的 投递 工作 。 这 可 以 分 成 几 种 情况 ， 最 简单 的 情况 是 主 
机 根本 不 考虑 邮件 的 发 送 和 接收 地 址 ， 只 要 送 到 它 的 25 端口 的 信件 就 给 予 投递 。 这 种 计算 
机 叫做 open relay， 这 种 主机 通常 都 会 被 大 量 的 垃圾 邮件 淹没 。 除 此 之 外 ， 绝 大 部 分 邮件 主 
机 都 必须 对 邮件 的 发 送 /接收 地 址 、 客 户 机 的 人 P 等 做 一 些 限制 ， 避 免 垃圾 邮件 的 攻击 。 

SMTP 协议 对 于 发 送 邮件 本 身 是 不 做 任何 验证 的 ， 换 句 话说 , 任何 人 都 可 以 对 你 发 信 ， 
而 且 邮件 服务 程序 总 要 把 邮件 放 入 你 的 邮箱 ， 所 以 ， 如 果 谁 愿意 让 你 的 邮件 报废 的 话 ， 简 
单 地 给 你 发 送 一 百 万 封 空 邮 件 就 可 以 了 。 这 个 方法 其 实 连 攻击 都 算 不 上 ， 不 过 非常 行 之 有 
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效 ， 标 准 的 术语 叫做 “邮件 炸弹 ”。 

除 此 之 外 ， 电 子 邮 件 还 有 一 些 技术 含量 不 高 却 很 令 人 头痛 的 问题 ， 例 如 垃圾 邮件 。 不 
过 这 些 跟 安全 性 并 没有 什么 关系 。 相 反 ， 有 一 个 问题 很 容易 让 用 户头 痛 ， 就 是 身份 认证 的 
问题 。 

标准 SMTP 协议 对 于 发 送 邮 件 并 不 需要 登录 到 系统 ， 这 使 得 任何 人 都 可 以 冒充 系统 本 
地 用 户 来 发 送 电 子 邮件 ， 当 然 就 本 质 来 说 这 个 问题 不 能 算是 问题 ， 邮 局 也 不 可 能 禁止 发 信 
者 送出 匿名 信 。 不 过 在 今天 ， 电 子 邮 件 已 成 为 极 重要 的 交流 手段 ， 很 可 能 出 现 意料 之 外 的 
要 求 。 特 别 是 为 了 在 一 定 程度 上 限制 垃圾 邮件 ， 发 明了 ESMTP 协议 ， 它 可 以 设置 为 发 送 
邮件 的 时 候 进 行 身份 认证 ， 给 出 用 户 在 系统 中 的 账号 和 密码 。 当 然 ， 这 只 能 是 在 一 定 程度 
上 有 用 ， 真 正 的 解决 方法 ， 还 要 使 用 PGP 和 数字 签名 。 

从 安全 性 问题 考虑 ， 邮 件 系统 除了 SMTP 固有 的 不 安全 因素 之 外 ， 主 要 的 和 本 地 投递 
有 关 ， 而 最 容易 出 现 问题 的 是 sendmail。 

当 邮 件 地 址 是 本 地 账户 的 时 候 ， 邮 件 服务 程序 就 需要 进行 本 地 投递 。 投 递 方式 依赖 于 
邮件 服务 程序 的 具体 实现 。 不 过 ， 几 乎 所 有 的 邮件 服务 程序 都 会 支持 投递 到 程序 ， 即 通 
过 管道 将 邮件 内 容 传送 给 其 他 程序 。 如 果 服 务 程序 设计 得 不 够 周全 ， 很 容易 导致 系统 安全 
问题 。 

sendmail 作为 最 主要 的 邮件 服务 程序 ， 安 全 问题 也 是 最 多 的 。 它 的 主要 问题 是 所 有 的 
功能 被 集中 在 一 个 大 程序 中 , 为 了 完成 所 有 的 功能 , 这 个 程序 必须 suid 到 root 执行 。 这样， 

- 旦 被 溢出 ， 攻 击 者 就 会 取得 root 权限 。 另 外 ，sendmail 本 身 不 处 理 最 终 的 邮件 投递 ， 大 
部 分 本 地 投递 工作 由 procmail 或 者 UNIX mail 程序 完成 。 需 要 投递 到 程序 的 邮件 则 通过 一 
个 shell 来 启动 对 应 程序 ， 这 也 额外 地 增加 了 危险 性 。 

sendmail 可 以 通过 将 本 地 shell 改 成 一 个 名 叫 smrsh 的 邮件 专用 shell 来 完成 ， 它 基本 
上 和 标准 shell 的 功能 相同 , 但 是 加 入 了 为 邮件 系统 做 的 安全 性 考虑 的 功能 , 例如 禁止 执行 
suid 程序 等 。 遗 憾 的 是 ， 并 不 是 所 有 程序 都 可 以 这 样 处 理 ， 例 如 著名 的 邮件 列表 程序 
majordomo 由 于 必须 suid， 就 无 法 使 用 smrsh 来 运行 。 

比较 现实 的 方法 应 该 是 尽量 更 换 不 怎么 可 靠 的 sendmail 程序 ， 使 用 相对 更 安全 的 邮件 
服务 程序 。 目 前 主要 的 替换 产品 有 postfix、qmail 和 exim。 其 中 ，postfix 和 qmail 都 是 设 
计 得 比较 全 面 的 邮件 服务 系统 ， 有 具有 比 sendmail 更 好 的 性 能 和 安全 性 。 特 别 是 它们 在 设计 
时 都 考虑 了 尽量 避免 不 必要 的 suid 到 root， 使 得 被 溢出 的 危险 大 大 降低 。 在 某 些 情 况 下 ， 
还 可 以 使 用 chroot 方式 将 所 有 邮件 程序 锁 在 特定 的 目录 中 ， 这 样 即 使 被 溢出 ， 危 险 也 要 比 
sendmail 小 得 多 。 

与 邮件 相关 的 还 有 两 个 主要 的 协议 : POP 〈 邮 局 协议 ) 和 IMAP (Intemet 邮件 存 取 协 
议 )， 用 来 让 客户 机 从 服务 器 邮箱 内 取得 邮件 内 容 。 

由 于 邮箱 实际 是 属于 用 户 的 一 个 文件 ， 访 问 它 需要 进行 用 户 身份 认证 ， 因 而 一 般 情 况 
下 ,这 个 认证 是 个 简单 的 校 验 用 户 名 /口令 的 过 程 。 不 过 标准 的 POP/IMAP 口令 认证 都 是 明 
文 传输 的 ， 很 容易 被 监听 到 ， 因 此 发 明了 用 于 POP 的 加 密 传输 协议 ,这 个 协议 的 一 个 主要 
实现 是 qpopper 程序 ， 它 可 以 提供 一 些 高 级 的 选项 ， 特 别 是 支持 以 加 密 方式 在 客户 和 服务 
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器 之 间 转 发 口令 字 ， 以 及 对 pop3 使 用 与 账号 登录 不 同 的 认证 口令 等 。 
4. DNS 


Linux 的 DNS 服务 程序 一 一 bind 也 是 著名 的 容易 受到 攻击 的 程序 。 而 且 ， 因 为 DNS 
本 身 极 端 重要 ， 一 旦 DNS 出 现 问题 ， 后 果 将 变 得 非常 严重 。 

DNS 的 功能 是 把 Internet 域名 转换 为 PP 地址， 这 在 网 络 中 是 至 关 重 要 的 。 

(1) 几乎 所 有 的 主机 信任 关系 都 是 基于 域名 而 不 是 IP 地 址 ， 以 便 可 以 透明 地 修改 。 

(2) 如 负载 均衡 之 类 的 工作 ， 通 常 利用 DNS 数据 系统 的 多 记录 随机 分 配 来 完成 ， 这 
种 情况 下 ， 无 法 直接 使 用 卫 地 址 来 访问 主机 。 

(3) DNS 是 分 级 体系 ， 一 旦 某 个 DNS 出 现 问题 ， 整 个 下 辖 系统 全 部 会 出 现 问题 ， 而 
且 因 为 DNS 缓存 的 问题 ， 错 误会 在 Internet 上 扩散 。 

(4) DNS 服务 程序 因为 运转 在 TCP/UDP 的 53 端口 一 一 小 于 1024 的 特权 端口 ， 因 而 
必须 用 超级 用 户 身份 执行 ， 而 它 要 读 配置 文件 和 写 大 量 的 log 记录 ， 也 要 求 具有 存 取 系 统 
文件 的 能 力 ， 因 此 一 旦 被 溢出， 后 果 是 灾难 性 的 。 

对 于 DNS 的 攻击 ， 首 先是 DoS。 一 般 情况 下 ，DNS 服务 器 是 在 防火 墙 系统 的 外 边 ， 
对 查询 数据 流 不 做 防护 以 方便 客户 机 的 访问 。 但 这 也 给 攻击 者 带 来 了 方便 。 

(1) 一 个 没有 防火 墙 的 系统 ， 很 容易 发 生 流量 过 载 ， 这 种 问题 甚至 和 任何 具体 实现 无 
关 ， 就 是 简单 的 路 由 超载 。 

(2) DNS 服务 程序 bind 因为 是 沉默 地 在 53 端口 监听 并 且 对 一 切 访问 做 出 回应 ， 需 要 
耗费 大 量 的 内 存 和 CPU 时 间 。 

通常 一 个 部 门 的 主 DNS 服务 器 必须 支持 整个 部 门 /公司 的 DNS 访问 ， 这 种 中 心 DNS 
负载 量 是 相当 大 的 ， 经 常会 消耗 大 量 的 内 存 空间 。 而 DNS 主要 的 工作 是 在 UDP 53 端口 ， 
所 以 用 精心 设计 的 DoS 程序 可 以 很 容易 地 将 其 打垮 。 特 别 是 ，DNS bind 程序 是 作为 长 期 
使 用 的 程序 ， 在 某 些 情况 下 设计 不 周全 的 代码 会 带 来 资源 泄漏 ， 这 种 情况 下 ， 系 统 拒绝 服 
务 只 是 个 时 间 问 题 而 已 。 

DNS 被 算 改 带 来 了 另外 一 种 可 能 的 “IP 欺骗 "”， 它 和 人 P 欺骗 的 技术 是 不 同 的 ， 但 是 效 
果 基 本 上 没什么 区 别 。 因 为 主机 信任 关系 经 常会 被 写成 用 域名 代表 主机 的 形式 ， 这 样 如 果 
域名 记录 被 算 改 了 ， 那 么 主机 信任 关系 就 此 被 攻破 。 

除 此 之 外 ， 域 名 算 改 还 有 另外 一 个 不 是 很 高 明 但 是 非常 有 效 的 用 处 ， 就 是 让 原来 访问 
某 台 主机 的 数据 流 流向 另外 一 台 主 机 。 这 种 办 法 最 有 效 的 使 用 是 算 改 WWW 站 点 的 域名 记 
录 ， 让 原来 指向 这 个 站 点 的 访问 重 定 向 到 攻击 者 的 站 点 ， 从 而 骗取 敏感 信息 。 这 类 域名 算 
改 技术 有 个 听 起 来 比较 专业 的 名 字 一 一 DNS 毒药 。 

DNS 毒药 实现 起 来 不 是 很 容易 ,但 是 有 一 些 技术 可 以 帮助 攻击 者 达到 目的 。 其 中 最 惯 
用 的 办 法 是 DNS ID hacking。 简单 地 说 , 当 DNS 服务 器 接收 到 一 个 不 属于 自身 管辖 范围 的 
域名 记录 的 DNS 解析 请 求 时 ， 服 务 器 将 和 上 层 或 者 根 服务 器 联系 ， 取 得 这 个 域名 的 人 P， 
并 且 缓 存在 自己 的 缓存 记录 中 。 攻 击 者 可 以 监听 DNS 报 文 ， 抢 在 目标 DNS 服务 器 回答 之 
前 “抢答 ”DNS 请 求 报 文 。DNS 服务 程序 并 不 检查 应 答 报 文 是 谁 发 出 的 ， 只 要 应 答 报 文 头 
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部 的 报 文 ID 和 请 求 报 文 一 致 ， 就 认为 是 对 自己 的 应 答 ， 因 此 攻击 者 需要 的 全 部 任务 只 是 
猜测 一 个 正确 的 报 文 ID 就 完成 了 。 因 为 DNS 报 文 是 明文 传送 的 ， 所 以 更 有 效 的 方法 是 简 
单 监 听 报 文 并 且 从 请 求 报 文中 取得 ID， 这 样 DNS 攻击 就 成 功 了 。 以 后 ， 因 为 这 个 应 答 记 
录 被 缓存 ， 马 上 整个 系统 都 会 中 毒 。 

就 算 技 术 上 的 问题 让 你 不 能 完全 监听 DNS 报 文 ， 那 也 没关系 ， 因 为 DNS bind 的 实现 
比较 弱 ; 第 一 次 查询 使 用 了 一 个 随机 ID, 下 一 次 查询 一 定 是 这 个 人 D 加 1, 依 此 类 推 -Windows 
NT 的 实现 则 更 弱 ， 它 每 次 查询 的 ID 都 等 于 1。 

但 是 没有 什么 非常 有 效 的 手段 对 付 ID hacking， 因 为 DNS 报 文 不 能 加 密 。 

DNS 的 下 一 个 传统 问题 是 zone transfer (区 域 传递 )。 区 域 传递 就 是 把 本 DNS 服务 器 
负责 的 一 个 完整 域内 的 所 有 DNS 记录 直接 传送 给 客户 机 。 但 是 这 样 做 在 安全 性 上 却 很 危 
险 ， 因 为 它 会 泄露 太 多 的 关于 本 地 网 络 的 信息 ， 如 果 攻 击 者 拿 到 了 所 有 DNS 记录 , 就 可 能 
反 向 判断 出 网 络 的 整体 拓扑 结构 ， 并 且 找 到 进行 攻击 的 薄弱 环节 。 

除 此 之 外 ， 由 于 一 般 情况 下 DNS 服务 器 处 于 防火 墙 外 面 ， 相 当 于 一 台 裸 露 的 Linux 
主机 ， 而 且 它 通 常会 具有 穿越 防火 墙 的 能 力 ， 一 旦 攻击 者 攻破 了 DNS 机 ， 就 会 带 来 一 个 进 
入 防火 墙 内 部 的 跳板 。 

传统 上 ，bind 程序 是 一 个 著名 的 容易 被 攻击 的 程序 ， 许 多 致命 的 系统 漏洞 和 它 有 关 。 
原因 是 因为 它 用 文本 串 的 方式 传递 DNS 报 文 ， 并 且 使 用 标准 的 C 库 函数 和 格式 化 字符 串 
功能 ， 很 容易 被 溢出 。 而 且 ， 由 于 它 运 行 在 超级 用 户 权限 ， 一 旦 被 溢出 ， 后 果 就 是 灾难 
性 的 。 

解决 bind 的 缓冲 区 溢出 问题 ， 除 了 不 断 升级 系统 之 外 ， 就 只 有 用 chroot 或 者 LIDS 的 
方案 ， 让 bind 程序 不 能 执行 shell， 从 而 即使 溢出 ， 攻 击 者 也 拿 不 到 root shell。chroot 的 方 
法 比较 简单 ， 也 是 比较 传统 的 解决 方案 ，named 进程 本 身 就 有 一 个 参数 用 来 让 自身 进入 
chroot 模式 。 

命令 格式 


named -t [目录 ] 


不 过 ， 由 于 named 需要 访问 许多 文件 ， 所 以 这 些 文件 必须 被 一 起 复制 到 对 应 的 named 
工作 目录 下 面 ， 特 别 是 syslog。 详 细 内 容 可 以 参考 bind-chroot-HOWTO。 


5. FTP 和 WWW 


作为 最 主要 的 Intermet 服务 (除了 SMTP 以 外 )，FTP 和 WWW 受到 攻击 的 次 数 是 非 
常 多 的 ， 然 而 总 的 来 说 ， 在 这 个 问题 上 ， 可 以 讨论 的 内 容 并 不 多 ， 除 了 前 面 提 到 的 用 来 对 
付 监听 的 SSH 和 SSL 之 外 ， 就 都 是 些 老生 常 谈 的 内 容 。 这 是 因为 这 两 个 服务 经 过 太 多 的 
攻击 和 堵 漏 的 结果 ， 目 前 的 攻击 手段 几乎 都 是 和 具体 的 服务 器 程序 实现 有 关 。 

1) FTP 

对 于 FTP 服务 器 ,需要 考虑 的 是 , 未 经 授权 的 用 户 禁止 在 服务 器 上 进行 FTP 操作 。 匿 
名 FTP 用 户 不 能 读 取 未 经 系统 所 有 者 允许 的 文件 或 目录 。 未 经 允许 , 匿名 FTP 用 户 不 能 在 
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服务 器 上 建立 /删除 文件 或 目录 。 这 些 功能 的 具体 实现 几乎 都 和 实际 的 服务 器 软件 实现 
有 关 。 

目前 有 几 个 主要 的 FTP 服务 程序 , 最 常见 的 是 wu-ftpd、 proftpd 和 ncftpd。 由 于 wu-ftpd 
的 性 能 比较 好 ， 使 用 的 系统 最 多 ， 但 是 传统 上 它 的 安全 性 问题 也 最 多 。 

wu-ftpd 用 系统 的 标准 用 户 来 验证 用 户 身份 ， 匿 名 用 户 被 映射 到 系统 账号 中 的 FTP 用 
户 。 另 外 ， 凡 在 /etc/ftpusers 文件 中 出 现 的 用 户 都 将 被 服务 器 拒绝 提供 FTP 服务 (这 个 功能 
是 直接 编码 到 wu-ftpd 中 ， 但 是 也 可 以 通过 PAM 实现 )。 服 务 器 管理 可 以 建立 “不 受 欢迎 ” 
的 用 户 目录 ， 拒 绝 这 些 用 户 访 问 。FTP 目录 安全 设置 如 表 5-10 所 示 。 


表 5-10 FTP 目录 安全 设置 表 


目录 描 述 

FTP 主 目录 这 个 目录 的 所 有 者 应 该 设 为 FTP， 并 且 将 属性 设 为 所 有 的 用 户 都 不 可 写 ， 防 
止 不 怀 好 意 的 用 户 删改 文件 
该 目录 主要 放置 一 些 系 统 文件 ， 应 将 这 个 目录 的 所 有 者 设 为 root ( 即 超级 用 

FTPjbin 目录 户 )， 并 且 将 属性 设 为 所 有 的 用 户 都 不 可 写 。 为 保证 合法 用 户 可 显示 文件 ， 应 
将 目录 中 的 ls 文件 属性 设 为 可 执行 。 近 来 的 wu-ftpd 服务 程序 允许 将 ls 命令 
内 婴 到 ftpd 之 内 ， 这 样 可 以 删除 1s 文件 提高 可 信 度 
将 这 个 目录 的 所 有 者 设 为 root， 并 且 将 属性 设 为 所 有 的 用 户 都 不 可 写 ; 将 目 

FTP/etc 目录 录 下 的 group 文件 和 passwd 文件 的 属性 设 为 所 有 用 户 只 读 属性 , 并 用 编辑 器 
将 passwd 文件 中 用 户 加 过 密 的 口令 删除 

FTP/ 将 这 个 目录 的 所 有 者 置 为 FTP， 并 且 将 它 的 属性 设 为 所 有 用 户 均 可 读 、 写 、 

pub 目录 


执行 


只 有 在 服务 器 的 /etc/passwd 文件 中 存在 名 为 FTP 的 用 户 时 ， 服 务 器 才 可 以 接受 匿名 
FTP 连接 ， 匿 名 FTP 用 户 可 以 使 用 anonymous 或 FTP 作为 用 户 名 ， 自 己 的 Intemet 电子 
邮件 地 址 作为 保密 字 。 当 匿名 FTP 用 户 登 录 到 FTP 时 ，wu-ftpd 通过 执行 chroot 将 匿名 用 
户 锁 在 /etc/passwd 中 FTP 用 户 的 宿主 目录 中 ， 因此， 匿名 用 户 的 安全 问题 主要 集中 在 这 个 
目录 的 存 取 权 限 上 。 

除 此 之 外 ,许多 系统 还 会 给 出 一 个 incoming 目录 用 于 让 匿名 用 户 上 传 ， 这 个 目录 的 属 
性 需要 设置 为 所 有 人 都 可 以 存 取 和 读 写 , 这 是 比较 容易 出 现 问 题 的 地 方 。 可 以 利用 wu-ftpd 
的 功能 将 它 设置 成 一 旦 上 传 就 不 能 删改 ， 增 加 系统 的 可 靠 性 。 另 外 ， 还 需要 利用 记录 程序 
/varlog/xferlog 记录 各 种 登录 和 连接 信息 。 

除了 wu-ftpd 之 外 ，proftpd 和 ncftpd 的 基本 设置 思路 也 可 以 参考 上 述 内 容 ， 总 之 都 要 
控制 匿名 用 户 的 访问 。 另 外 ，FTP 程序 的 缓冲 区 溢出 和 core dumped 问题 都 可 能 带 来 安全 
性 漏洞 ， 请 参考 有 关 的 资料 。 

2) HTTP 

HTTP 协议 是 最 主要 的 网 络 信息 传输 协议 。 关 于 它 的 主要 问题 ， 前 面 在 讲 SSL 的 时 候 
已 经 讨论 过 了 ， 它 本 身 是 明文 传送 ， 容 易 遭 到 监听 的 威胁 。 

除了 这 种 纯粹 的 监听 和 J 了 P 欺 骗 问 题 之 外 ,HTTP 服务 器 还 会 有 一 些 特有 的 安全 性 问题 。 
其 中 最 重要 的 和 CGI 程序 有 关 。 

CGI 即 通 用 网 关 接 口 , 是 一 种 用 来 帮助 服务 器 和 用 户 交 互 的 程序 。 它 运行 在 服务 器 上 ， 
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接收 客户 程序 的 信息 ， 进 行 必要 的 操作 ， 然 后 将 运行 结果 返回 给 用 户 。 最 典型 的 例子 是 留 
言 板 ， 它 从 客户 html 输入 中 取得 输入 信息 ， 写 入 到 服务 器 上 的 文件 中 。 广义 地 说 ， 如 ASP、 
PHP 等 服务 器 端 脚本 也 属于 这 个 范畴 。 

由 于 CGI 程序 具有 访问 服务 器 端 资源 的 能 力 , 因此 小 心 控制 CGI 程序 的 权限 是 非常 重 
要 的 。 这 里 面 有 一 些 隐 含 的 问题 。 

目前 Linux 下 最 主要 的 WWW 服务 程序 是 apache。 因 为 页 面 服务 程序 总 是 需要 服务 器 
文件 的 能 力 ， 所 以 需要 设置 apache 的 运行 权限 。 为 了 安全 起 见 ，apache 使 用 bind-fork 方 
式 。apache 首先 使 用 超级 用 户 权限 启动 ， 获 得 对 80 端口 的 控制 后 ，fork 自身 将 子 进程 切换 
到 实际 的 用 户 〈 一 般 是 nobody)， 然 后 用 子 进程 应 答 HTTP 请 求 。 这 个 动作 可 以 避免 被 组 
冲 区 溢出 到 root shell， 即 使 溢出 了 ， 攻 击 者 也 只 能 得 到 nobody 权限 。 

但 是 对 于 CGI 程序 , 因为 CGI 程序 通常 要 写 服务 器 端 文件 , 就 必须 考虑 写 权 限 的 问题 。 
一 种 办 法 是 把 需要 写 的 文件 设置 成 nobody 可 写 或 者 是 任何 人 都 可 以 写 ,但 这 个 办 法 显然 不 
值得 推广 。 另 外 一 个 办 法 是 使 用 suid。 将 CGI 程序 suid 到 对 应 的 用 户 ， 这 样 无 论 apache 
程序 的 权限 是 什么 ，CGI 程序 都 自动 获得 用 户 权 限 。 

除了 这 类 方式 外 ，apache 还 存在 其 他 一 些 控制 权限 的 方式 ， 最 重要 的 是 suEXEC。 这 
是 一 种 按照 在 httpd.conf 或 者 对 应 目录 的 权限 设置 CGI 用 户 权限 的 机 制 。suEXEC 允许 下 
面 两 个 功能 : 

。 对 于 虚拟 主机 ， 人 允许 每 个 VirtualHost 段落 使 用 自己 的 user 和 group 子 句 。 

。 对 于 http://www.yourdomain.com/~~someone 这 样 的 主页 服务 ， 允 许 每 个 用 户 在 自己 

的 目录 下 设置 一 个 CGI 目录 , 处 于 这 个 目录 中 的 CGI 程序 自动 获得 对 应 用 户 的 权限 。 
这 两 者 对 于 虚拟 主机 和 多 用 户 的 主页 机 器 是 非常 重要 的 。 

在 一 般 情况 下 ， 尽 量 使 用 suEXEC 功能 可 以 获得 比较 好 的 安全 防护 。 另 外 ， 在 迫 不 得 
已 要 suid 到 root 的 情况 ， 尽 量 用 PHP 或 者 Perl 这 样 的 脚本 语言 。 它 们 通常 会 有 额外 的 
完全 防护 ， 以 便 尽量 减少 被 缓冲 区 溢出 的 可 能 性 。Perl 有 个 称 为 suidPerl 的 apache 专用 版 
本 ， 用 来 提高 脚本 的 安全 性 。 

另外 一 种 对 apache 威胁 很 大 的 攻击 方式 是 DoS。 因 为 apache 本 身 的 复杂 性 和 设计 问 
题 , 远程 攻击 很 容易 将 安装 apache 计算 机 的 内 存 耗 尽 。 即 使 没有 DoS，WWW 服务 的 负担 
也 很 容易 让 apache 陷入 困难 之 中 ,这 已 经 不 是 简单 的 安全 性 问题 了 ,而 需要 综合 考虑 很 多 
方面 才能 解决 。 


6, inetd 


UNIX/Linux 系统 有 一 类 独特 的 网 络 服 务 进程 ， 称 为 inetd。 这 里 用 inetd 程序 来 统称 这 
种 提供 inetd daemon 功能 的 程序 ， 包 括 inetd、xinetd 和 tcpserver 等 。 

一 般 情况 下 ， 要 建立 一 个 TCP 服务 程序 ， 至 少 需要 做 下 面 的 几 项 工作 。 

首先 ， 要 建立 一 个 监听 用 的 socket， 把 它 绑 定 到 服务 器 的 某 个 端口 上 ， 然 后 让 它 去 监 
听 用 户 的 连接 请 求 。 

一 旦 有 客户 连接 到 达 ， 服 务 进程 fork 复制 出 自身 的 一 个 副本 ， 然 后 把 连接 的 socket 交 
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给 子 进程 ， 自 己 继续 监听 。 子 进程 现在 可 以 用 read 和 write 对 socket 进行 操作 ， 完 成 服务 
功能 。 

上 述 过 程 是 比较 复杂 的 ， 而 inetd 服务 进程 的 功能 就 是 把 上 面 的 过 程 加 以 简化 。 它 监 
听 服 务 端口 ， 一 旦 有 请 求 到 来 ，inetd 启动 对 应 的 服务 ,但 是 并 不 把 socket 句柄 传递 给 对 应 
的 服务 程序 ， 而 是 接管 服务 进程 的 输入 输出 ， 由 客户 机 送 来 的 请 求 数据 ， 格 式 化 后 传递 给 
服务 程序 的 stdin。 而 如 果 服 务 程序 想 要 向 客户 机 发 送 数据 ， 只 要 直接 向 stdout 写 就 行 了 。 
这 样 ，socket 编程 被 简化 成 了 scanfjprintf 的 操作 。 

因此 ， 许 多 服务 被 设计 成 通过 inetd 方式 来 完成 服务 ， 当 然 这 就 意味 着 系统 中 必须 有 
一 个 inetd 服务 程序 ， 最 早 的 这 种 服务 程序 就 是 inetd。 

目前 来 说 ，inetd 的 漏洞 并 不 是 很 多 ， 但 这 仅仅 是 因为 大 部 分 著名 的 漏洞 都 被 堵 上 了 。 
要 知道 ，inetd 支持 许多 TCP 服务 ， 而 且 必 须 工作 在 root 权限 下 ， 所 以 一 旦 有 漏洞 就 是 致 
命 的 。 

inetd 的 原始 设计 仅仅 是 个 转换 工具 ， 几 乎 没有 任何 附加 的 安全 功能 ,特别 是 没有 对 用 
户 的 中 地址 进行 过 滤 和 记录 用 户 连 接 的 功能 。 为 此 ， 有 人 开发 了 一 个 称 为 tcpwrapper 的 附 
加 工具 包 ， 它 可 以 通过 /etc/hostallow 和 /etc/host.deny 对 客户 机 的 IP 地 址 进行 限制 。 不 过 ， 
目前 更 流行 的 做 法 是 用 其 他 的 服务 程序 替换 inetd， 最 主要 的 是 xinetd 和 tcpserver。 这 两 者 
都 可 以 替代 inetd 的 功能 ， 但 是 具有 更 好 的 安全 性 和 网 络 性 能 。 


7， 端 口 扫描 


扫描 本 身 不 算 一 种 攻击 行为 ， 但 是 它 常常 可 以 成 为 攻击 发 起 前 的 准备 工作 。 扫 描 器 能 
够 自动 检测 远程 或 本 地 主机 的 安全 性 弱点 , 发 现 远 程 服务 器 各 种 TCP 端口 的 分 配 、 提供 的 
服务 及 相应 的 软件 版 本 ， 记 录 目 标 给 予 的 回答 ， 搜 集 关 于 目标 主机 的 各 种 有 用 信息 。 扫 描 
器 可 以 帮助 发 现 目标 主机 存在 的 一 些 问题 ， 而 这 些 问 题 可 能 恰恰 就 是 黑客 攻击 的 关键 点 。 

端口 扫描 也 是 一 种 获取 主机 信息 的 有 效 方 法 。 在 UNIX/Linux 系统 中 ， 任 何 用 户 均 
可 使 用 端口 扫描 程序 而 不 需要 root 权限 。 一 般 情况 下 ， 运 行 UNIX/Linux 操作 系统 的 主机 
在 小 于 1024 的 端口 提供 了 很 多 服务 , 包括 许多 特有 服务 。 使 用 telnet 命令 连 到 这 些 端口 都 
会 得 到 系统 的 响应 。 如 果 利 用 端口 扫描 程序 扫描 网 络 上 的 一 台 主 机 ， 就 可 以 清楚 地 知道 这 
台 主机 运行 的 是 什么 操作 系统 ， 提 供 了 哪些 服务 。 因 为 一 般 的 Windows NT 除了 在 21、80 
端口 监听 以 外 ， 还 在 135、139 等 端口 进行 监听 ， 而 Windows 98 通常 只 在 139 端口 进行 监 
听 。 因 此 ， 从 扫描 的 端口 数目 和 端口 号 能 够 判断 出 目标 主机 运行 的 操作 系统 ， 通 过 收集 扫 
描 的 信息 ， 也 能 够 轻松 地 掌握 局 域 网 络 的 构造 。 

表 5-11 所 示 为 一 些 常用 端口 号 和 对 应 服务 的 对 照 表 ， 不 过 应 该 认识 到 ， 这 种 对 应 仅仅 
是 约定 ， 特 别 是 对 于 高 于 1024 的 端口 ， 并 没有 严格 的 规范 进行 约束 。 


表 S-1 常用 服务 端口 对 照 表 


服 务 端口 
Socks 1512/tcp 

2049/tc nfsd 
Socks 


2049/udp nfsd 
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续 表 
服 务 端口 服 务 端口 
3306/tcp 70/tcp 
S opher 
ey 3306/udp Sp 70hdp 
etstat 15h 人 fi De 
n Inger 
2 79/udp 
i 80/tcp 
li 1 98/t hi 
inuxcon cp ttp g0/udp 
953/tcp 110/tep 
mdc pop3 
953/udp 110/udp 
id 3128/t i Han 
ui im: 
加 时 143/udp 
21/t 389/t 
tp tcp i tcp 
21/udp 389/udp 
22/tcp 
ssh rtsp 554/udp 
22/udp 
23/tcp 
telnet Shell S14/tcp 
23/udp 
2 ll 514/udI 
smtp 25/udp syslog udp 
42/tcp a 
nameserver 42/udp uucp cp 


关于 其 他 端口 扫描 的 相关 内 容 ， 请 参见 5.3 节 “ 安 全 工具 ”。 
5.3 安全 工具 


就 如 这 个 世界 有 了 矛 就 有 慎 一 样 ， 网 络 世界 有 各 种 各 样 的 攻击 工具 ， 也 有 各 种 各 样 的 安 
全 工具 。 这 里 只 给 读者 介绍 一 些 Linux 下 较 常见 的 安全 工具 ， 与 Linux 本 身 类 似 ， 这 些 工 
有 具 大 多 也 是 开放 源码 的 自由 软件 ， 恰 当地 使 用 它们 ， 可 以 提高 系统 的 安全 性 。 


5.3.1 tcpserver 
tcpserver 是 一 个 inetd 类 型 的 服务 程序 , 它 监听 进入 的 连接 请 求 , 为 要 启动 的 服务 设置 


各 种 环境 变量 ， 然 后 启动 指定 的 服务 。tcpserver 允许 限制 同时 连接 一 个 服务 的 数量 。 当 
服务 过 忙 时 ，inetd 具有 一 种 连接 速率 限制 机 制 ， 以 临时 停止 该 服务 。 


1，tcpserver 程序 的 语法 


tcpserver [opts] [host] [port] [prog] 


。 opts; 一 系列 选项 。 
。 host; 服务 器 名 称 。 
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。 port: 服务 器 端口 。 

。 prog; tcpserver 等 待 来 自 TCP 客户 端的 连接 ,每 个 连接 都 运行 prog 程序 。 每 个 连接 
同时 也 建立 若干 环境 变量 (有关 环 境 变 量 的 资料 可 参阅 
http://cr.yp.to/ucs-pi-tcp/environment.html )， 服 务 器 的 地 址 由 host 加 port 唯一 表示 。 
port 可 以 来 自 /etc/services 或 数字 ， 若 port 为 0，tcpserver 将 选择 一 个 可 用 的 TCP 端 
口 。 主 机 可 以 是 0， 这 时 tcpserver 允许 来 自 本 地 任何 IP 的 连接 。host 也 可 以 是 一 个 
卫 地 址 ， 这 时 tcpserver 仅 接 受 来 自 该 他 地 址 的 连接 。host 还 可 以 是 主机 名 ， 主 机 
名 使 用 dns_ip4 认证 反馈 。 当 接收 到 SIGTERM 时 ，tcpserver 退出 服务 。 

2， 可 选项 

可 选项 包括 综合 选项 、 连 接 选 项 和 数据 集 选项 ， 分 别 如 表 5-12、 表 5-13 和 表 5-14 

所 示 。 
表 5-12 综合 选项 表 
不 打印 出 错 消息 
(默认 ) 打印 出 错 消息 
打印 出 错 消 息 和 状态 信息 
表 5-13 ”连接 选项 表 
选 项 描 述 
当 同 时 连接 的 数目 超过 n 时 ， 不 再 处 理 其 他 连接 。 若 有 n 个 prog 程 
-cn 序 副本 同时 运行 , 新 的 连接 请 求 将 被 延迟 到 一 个 副本 结束 运行 时 才 接 
受 。n 必须 是 正 整 数 ， 默 认 值 为 40 
遵循 使 用 tcprules 编译 进 cdb 的 规则 ， 这 些 规则 可 以 指定 环境 变量 的 
-xcdb 设置 和 拒绝 来 自 错误 的 数据 源 的 连接 : tcpserver 正在 运行 的 时 候 ， 可 
以 返回 到 tcprules 修改 这 些 规则 
即使 cdb 不 存在 也 允许 连接 , 这 是 与 x cdb 不 同 的 地 方 - 通常 情况 下 ， 
tcpserver 会 断 开 cdb 不 存在 的 连接 
在 每 个 连接 建立 之 后 ，tcpserver 会 在 搜索 $TCPREMOTEHOST、 $ 
TCPREMOTEINFO 和 检验 cdb 之 前 ， 立 即将 banner 写 入 到 网 络 
-g gid 在 准备 好 接受 连接 后 将 组 ID 切换 到 gid，gid 必须 为 正 整数 
-uuid 在 准备 好 接受 连接 之 后 将 用 户 ID 切换 到 uid，uid 必须 为 正 整数 
-U 和 -g$GID -u$UID 一 样 ， 但 $GID 和 $UID 由 envuidgid 设置 
-1 在 准备 好 接受 连接 之 后 ， 将 本 地 端口 号 在 标准 输出 设备 上 打印 出 来 
半 允许 预定 约 n 个 TCP SYNs, 在 某 些 系统 , n 被 预 设 为 5。 在 支持 SYN 
cookies 的 系统 ， 与 backlog 无 关 
不 修改 他 选项 ， 若 客户 端 通过 某 个 人 P 源 路 由 发 送信 息 包 ， 信 息 包 将 
被 按 原 路 由 送 回 
oo (默认 ) 不 采用 人 P 选项 ， 客 户 端 仍然 可 用 源 路 由 连接 和 发 送 数 据 ， 但 
信息 包 通过 默认 的 路 由 线路 送 回 
-d 当 远 程 主机 响应 缓慢 时 ， 将 数据 的 发 送 延 迟 若干 秒 


不 延迟 数据 的 发 送 ， 使 TCP_NODELAY 有 效 
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表 5-14 数据 集 选项 表 


选 项 描述 

-h (默认 ) 在 域名 服务 器 中 搜索 远程 主机 名 ， 设 置 环境 变量 $STCPREMOTEHOST 

H 不 在 域名 服务 器 中 搜索 远程 主机 名 ， 删 除 环境 变量 STCPREMOTEHOST。 为 避免 
产生 回路 ， 必 须 将 该 选项 应 用 在 服务 器 的 TCP 端口 53 
在 域名 服务 器 搜索 远程 主机 名 之 后 ， 搜 索 该 主机 的 IP 地 址 。 若 没有 与 客户 端 卫 

卫 地 址 一 致 的 地 址 ， 则 删除 环境 变量 STCPREMOTEHOST 

了 (默认) 不 做 替代 ， 即 如 果 不 匹 配 ， 也 不 改变 那个 数量 
不 在 域名 服务 器 搜索 本 地 主机 名 , 将 环境 变量 STCPLOCALHOST 设置 localname， 

-1 localname 通常 localname 被 置 为 0。 为 避免 产生 回路 ， 必 须 将 该 选项 应 用 在 服务 器 的 TCP 
端口 53 

+ (默认 ) 从 远程 主机 获取 环境 变量 STCPREMOTEONFO 

R 不 从 远程 主机 获取 环境 变量 $STCPREMOTEONFO， 为 避免 产生 回路 ， 必 须 将 该 选 
项 用 在 服务 器 的 TCP 端口 53 或 113 

-tn 在 尝试 STCPREMOTEINFO 的 连接 ns 后 放弃 尝试 ， 默 认 值 为 26 

5.3.2 xinetd 


xinetd (Extended Internet Services Daemon) 与 inetd 非常 相似 ， 较 之 于 inetd 又 更 强大 
更 安全 。 目 前 许多 发 行 版 本 带 有 xinetd 程序 。 如 果 提 供 的 服务 比较 简单 而 且 负担 不 重 ， 那 
么 xinetd 是 一 个 合适 的 选择 。 

xinetd 具有 下 述 特点 : 


全 


支持 tcp、ucp 和 RPC 服务 。 

基于 时 间 段 的 访问 控制 。 

功能 完备 的 log 功能， 可 以 限制 log 文件 的 大 小 。 

可 有 效 地 防止 DoS 攻击 。 

可 以 限制 同时 运行 的 同类 服务 器 数目 。 

可 以 限制 启动 的 所 有 服务 器 数目 。 

在 特定 的 系统 端口 绑 定 某 个 服务 ， 从 而 实现 只 允许 私有 网 络 访问 该 服务 。 
可 以 作为 其 他 系统 的 代理 。 


xinetd 的 安装 


(1) 直接 使 用 系统 自 带 的 xinetd 。 
(2) 自行 编译 安装 。 


首先 从 www.xinetd.org 下 载 得 到 xinetd。 
然后 在 linux 环境 下 编译 安装 #./configure; make; make install。 


configure 可 以 带 有 的 参数 如 表 5-15 所 示 。 


表 5-15 ”configure 参数 表 


参 。 数 描 还 

a Me 使 xinetd 通过 查看 tcpd 配置 文件 (Jete/hosts. {allow，deny]) 进行 访问 控制 ， 要 利 
中 ”| 用 该 功能 ， 系 统 必须 安装 tcp_wrapper 和 相关 库 

_withloadave | 使 xinetd 处 理 max-load 配置 远 项 ， 从 而 在 系统 负载 过 至 时 关闭 蘑 毕 服务 进程 以 防 


止 某 些 DoS 攻击 


—with-inet6 使 xinetd 支持 IPv6 
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2. xinetd 的 配置 说 明 


xinetd 的 默认 配置 文件 是 /etc/xinetd.conf， 可 以 通过 在 xinetd.conf 里 面 添 加 
includediretc/xinetd.d， 而 把 相应 的 服务 配置 文件 分 开 存放 到 /etc/xinetd.d/ 下 。 


#/etc/xinetd。conf 文 件 


# 
#Simple configuration file for xinetd 
# 
#Some defaults, and include/etc/xinetd. d/ 
defaults 
{ 
instances =60 
log type =SYSLOG authpriv 
1og_on_success =HOST PID 
1og_on_failure =HOST 
cps =2530 
} 
includedir /etc/xinetd. d 
# 
#/etc/xinetd/time 文 件 
# 


#default: off 
#description: An RFC 868 time server. This is the tcp\ 
#version, which is used by rdate. 


service time 


{ 
disable=yes 
type =INTERNAL 
id =time-stream 
socket type =stream 
protocol =tcp 
user =root 
wait =no 
} 
# 


#/etc/xinetd/time 文 件 到 此 结束 
通过 上 面 的 例子 可 以 看 到 ，xinetd 文件 的 格式 为 : 


service <service name> 


<attribute> <assign op> <value> <value>… 
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。 service: 必需 的 关键 字 ， 服 务 由 service_name 定义 。 
。 service_ name: 通常 是 标准 网 络 服务 名 ， 也 可 以 增加 其 他 通过 网 络 请 求 激活 的 非 标 
准 服务 。 

。 attribute: 文件 属性 。 

attribute 的 属性 如 表 5-16 所 示 。 

assign_op 可 以 为 =、+= 或 -=。= 的 作用 是 分 配 一 个 或 多 个 值 ， 所 有 属性 均 可 使 用 ， 二 
或 -= 的 作用 分 别 是 将 其 值 增加 到 某 个 现存 值 表 或 从 现存 值 表 删 除 ， 某 些 属 性 可 以 使 用 。 

。 value: 给 定 属性 设置 参数 。 


表 5-16 attribute 属性 表 

属 性 允许 值 
access_times 格式 : hour: min-our: min 
bind bind=〈 接 口 的 了 P 地 址 ) 
eps 
disable 禁用 服务 yes〈 禁 用 ) /no( 启 用》 
enabled 
DISABLE : 指定 禁止 的 服务 ， 级 别 高 于 
ENABLED， 即 使 ENABLED 某 个 服务 设置 了 
DISABLE 属性 ， 服 务 仍然 会 被 禁止 。 
IDONLY: 只 在 远 端 识 别 远 程 用 户 时 才 接 受 该 连 
接 ， 该 标记 只 适用 于 基于 连接 的 服务 ， 若 未 使 用 
USERID log 选项 则 该 标记 无 效 。 
INTERCEPT: 截获 包 或 允许 的 连接 以 确认 其 是 
否 来 自 于 允许 的 位 置 (INTERNAL 服务 和 多 线程 
服务 不 能 被 截获 )。 
NAMEINARGS: 通过 设置 server 中 的 tepd 和 
server_args 中 的 服务 器 程序 名 ， 可 以 使 用 tcpd。 
NODELAY : 若 服务 为 tep 服务 ， 且 设置 了 
NODELAY 标记 ， 则 TCP_NODELAY 标记 将 被 
设置 在 socket 上 , 若 不 是 tcp 服务 则 该 操作 无 效 。 
NORETRY: 若 fork 失败 不 重 试 


flags 


组 名 必须 存在 于 /etc/group; 若 不 指定 , 将 使 用 用 
group 设置 服务 进程 的 gid 户 的 组 (/etc/passwd); 若 xinetd 的 有 效 uid 不 是 
超级 用 户 , 该 属性 无 效 默认 情况 下 和 服务 名 相同 


用 来 唯一 地 指定 一 项 服务 《有 些 服务 
id 的 区 别 仅仅 在 于 使 用 不 同 的 协议 ， 因 
此 需要 使 用 该 属性 加 以 区 分 》 


以 /etc/xinetd/service 形式 取得 文件 名 ， 
该 文件 将 认为 是 一 个 新 的 配置 文件 


以 includediretc/xinetd.d 形式 取得 文 
includedir 件 名 ， 每 个 文件 都 包含 在 该 目录 中 ， 
被 认为 是 xinetd 的 配置 文件 


instances 设置 可 同时 运行 的 最 大 服务 器 程序 数 | 任意 值 或 UNLIMITED, UNLIMITED 意味 着 无 限 


log_on_succ- | 指定 服务 器 程序 启动 应 记录 的 信息 和 | DURATION: 记录 服务 器 程序 会 话 持续 时 间 。 
ess 服务 器 程序 结束 的 时 间 
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续 表 
允许 值 


EXIT: 记录 服务 器 程序 终止 时 进程 终止 的 状态 
和 信号 等 事实 。 

HOST: 记录 远程 主机 地 址 。 

PID: 服务 进程 的 PID。 

USERID: 通过 RFC1413 协议 记录 远程 用 户 的 
UID， 只 可 用 于 多 线程 流 服务 


log_on_ 
success 


ATTEMPT: 记录 一 次 失败 的 尝试 。 
log_on_fail- | 指定 服务 器 程序 启动 失败 时 记录 的 | HOST: 记录 远程 主机 地 址 。 

ure 信息 USERID: 通过 RFC1413 协议 记录 远程 用 户 的 
UID， 只 可 用 于 多 线程 流 服务 

SYSLOG: 日 志 输出 到 指定 设备 的 系统 日 志 。 
file: 日 志 被 追加 到 文件 , 若 不 存在 则 建立 文件 


log_type 指定 服务 日 志 输出 位 置 


max_load 服务 达到 最 大 允许 连接 的 负载 值 
nice 指定 服务 器 程序 优先 权 
no_access 指定 被 拒绝 特定 服务 的 远程 主机 


指定 可 获得 特定 服务 的 远程 主机 ， 若 
only_from ”| 不 指定 值 ， 则 任何 人 无 法 获得 该 项 | 取 值 如 表 5-17 所 示 
服务 


该 协议 必须 在 /etc/protocols 中 定义 , 若 不 指定 ， 
protocol 指定 服务 使 用 的 协议 将 使 用 服务 的 默认 协议 


xinetd 环境 中 传 通 给 服务 器 程序 的 环 
境 变量 列表 
， 把 top 服务 重 定向 到 另 一 个 主机 , 该 局 | redirect= (IP 地 址 ) (端口 也 可 以 用 主机 名 代 
i 性 优先 权 高 于 server 属性 蔡 JP 地 址 


车 该 服务 在 /etc/services 中 列 出 ， 则 必须 与 
port 定义 服务 端口 号 services 中 列 出 的 端口 号 相等 


pe_number 
pe_version 
server 
指定 传送 给 服务 器 程序 的 参数 ， 不 能 
Serg | 包含 服务 器 程序 名 
stream (基于 流 的 服务 )、dgram 〈 基 于 数据 报 
的 服务 )、raw (需要 直接 IP 访问 的 服务 ) 和 
seqpacket( 需 要 可 靠 的 连续 数据 报 传输 的 服务 ) 


socket_type 


RPC (RPC 服务 )、INTERNAL (由 xinetd 自 


type 身 提供 的 服务 ) 和 UNLISTED (没有 列 在 标准 
系统 文件 中 的 服务 ， 如 /etc/rpe 或 /etc/services) 
用 户 名 必须 存在 于 /etwpasswd， 若 xinetd 的 有 
we na 效 uid 不 是 超级 用 户 ， 该 属性 无 效 
; 。 yes: 单线 程 服务 
wait 设置 服务 的 类 型 是 单线 程 还 是 多 线程 ao。 多 线程 服务 
表 中 给 出 的 属性 并 非 都 要 在 系统 中 指定 。 通 常 一 个 服务 必需 的 属性 有 下 面 几 项 : 
Socket type 
User (只 用 于 非 内 部 服务 ) 


server (只 用 于 非 内 部 服务 ) 


wait 
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protocol (只 用 于 RPC 和 未 列 出 的 服务 ) 
ITpc_version 〈 只 用 于 RPC PC 服务 ) 
rpc_number “《〈 只 用 于 未 列 出 的 RPC 服务 ) 
port (只 用 于 未 列 出 的 非 RPC 服务 ) 
下 面 的 属性 支持 所 有 的 操作 符 ， 其 取 值 如 表 5-17 所 示 。 


only_from 

no_access 
log_on_success 
log_on_failure 

passenv 

env (不 支持 “一 =”) 


格 式 
%d.%d.%d.%d 


%d.%d.%d. {%d, %d, …} 


网 络 名 (来自 /etc/networks) 
主机 名 


IP 地 址 /网 络 掩 码 
不 指定 


表 5-17 only_from 的 取 值 

描述 
全 0 代表 网 络 ， 例 如 128.138.12.0 匹配 128.138.12 子 网 的 所 有 主机 ， 
0.0.0.0 匹配 所 有 的 Internet 地 址 ,IPv6 主机 可 以 abcd: ef 01::2345:6789 
的 形式 指定 ，IPv4 地 址 没有 必要 这 样 做 
地 址 分 解 形式 ， 并 非 一 定 需要 4 部 分 ， 例 如 %d.%d. {%d，%d，…， 
%d} 也 可 以 ， 但 是 被 分 解 的 部 分 必须 是 整个 地 址 表示 的 最 后 一 部 分 ， 
这 种 形式 不 适用 于 IPv6 主机 
这 种 形式 不 适用 于 IPv6 主机 
与 xinetd 建立 连接 时 ， 返 回 的 权威 名 (DNS 反 向 解析 出 来 的 名 字 ) 将 
与 指定 的 主机 名 相 比 较 ， 也 可 以 使 用 .domain.com 形式 的 域名 ， 若 返回 
的 客户 机 IP 在 .domain.com 内 ， 则 匹配 
格式 为 1.2.3.4/32; IPv6 的 地 址 /网 络 掩 码 合法 格式 为 1234: :/46 
对 任何 地 址 都 禁止 


xinetd 的 内 部 服务 (包括 基于 流 和 基于 数据 报 的 服务 ) 有 echo、 time、daytime、chargen 
和 discard。 除 了 不 需要 xinetd 为 之 建立 另外 的 进程 的 服务 外 ， 上 述 服务 与 所 有 的 其 他 服务 
一 样 有 相同 的 访问 限制 。 前 者 (time、daytime、 基 于 数据 报 的 echo、chargen 和 discard) 
则 没有 instances 数量 的 限制 。 

xinetd 同时 提供 两 种 基于 流 的 未 列表 的 内 部 服务 : 服务 器 程序 (server) 和 服务 
(services)。 前 者 列 出 服务 器 程序 运行 的 信息 ， 后 者 提供 当前 活动 服务 的 列表 。 每 行 一 个 服 
务 ， 每 行 包 含 一 个 服务 名 、 协 议 〈 例 如 tctp) 和 端口 号 。 

充分 利用 日 志 得 到 服务 器 信息 ， 对 于 服务 器 排 错 、 安 全 控制 等 都 非常 重要 。 最 简单 的 
方法 是 , 通过 日 志 可 以 发 现 一 些 非法 连接 企图 ， 有 关 日 志 属性 在 表 5-16 中 已 有 比较 详细 的 


说 明 。 
3. xinetd 文件 的 生成 


可 以 使 用 系统 自 带 的 xinetd 文件 修改 生成 ,但 是 修改 后 一 定 要 重新 使 xinetd 文件 有 效 。 
下 面 是 两 种 使 xinetd 有 效 的 方式 。 


#killall -HUP xinetd 


#/usr/sbin/xinetd 


或 


( 先 使 用 命令 killal1) 
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#/etc/rc. d/init. d/xinetd restart 


4. xinetd 配置 样本 
下 面 是 一 个 xinetd 配置 的 例子 。 


# 

#xinetd 配 置 样本 

# 

defaults 

{ 
log_ type =FILE/var/log/servicelog 
log on success =PID 
log on failure =HOST RECORD 
only_from =128.138.193.0128.138.204.0 
only_from =128.138.252.1 
instances =10 
isabled =rstatd 
} 
# 


# 注 意 1: protocol 属 性 不 是 必需 的 

# 注 意 2: instances 属 性 覆盖 了 默认 设 定 

# 注 意 3: only_from 对 于 IP 地 址 作 了 访问 控制 ， 只 允许 

#128 .138.193 和 128.138.204 子 网 及 128.138.252.1 主 机 的 访问 


# 

service login 

{ 
socket type =stream 
protocol =tcp 
wait =no 
user =root 
server =/usr/etc/in. rlogind 
instances =UNLIMITED 
. 

# 


# 注 意 1: instances 属 性 覆盖 了 默认 设 定 
# 注 意 2: 此 处 的 1og_on_success 是 追加 方式 


# 
service shell 
{ 

socket type =stream 
wait =no 
user =root 
instances =UNLIMITED 
server =/usr/etc/in. rshd 
log_ on success +=HOST RECORD 


Service ftp 
{ 
socket type 
wait 
nice 
user 


server 


server args 


instances 


log_on success 
access times 


} 
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=root 

=/usr/etc/in. ftpd 
=-1 

=4 

+=DURATION HOST USERID 
=2:00-9:0012:00-24:00 


# 限 制 telnet 会 话 使 用 8MB 内 存 、 子 进程 20 CPU 秒 


service telnet 
长 

socket_type 
wait 
nice 
user 
server 
rlimit as 
rlimit_cpu 
} 

# 


# 本 条 和 下 一 条 指定 了 内 部 服务 ， 


# 因 为 是 使 用 不 同 socket 类 型 的 同名 服务 ， 


#id 属 性 唯一 标识 每 个 条 目 
# 
service echo 
€ 
id 
type 
socket type 
user 
wait 


} 


service echo 
{ 
id 
type 
socket_ type 
user 
wait 


} 


service servers 
{ 
type 
protocol 


=stream 

=no 

=10 

=root 
=/usr/etc/in.telnetd 
=8M 

=20 


=echo-stream 
=INTERNAL 
=stream 
=root 

-he 


=echo-dgram 
=INTERNAL 
=dgram 
=root 

=n0o 


=INTERNAL UNLISTED 
=tcp 
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Port =9099 
socket type =stream 
wait =no 
} 

# 

#RPC 服 务 样本 

# 

service rstatd 

‘ 

type =RPC 
socket type =dgram 
protocol =udp 
server =/usr/etc/rpc.rstatd 
wait =yes 
user =root 
rpc_version =2-4 
env =LD_LIBRARY PATH=/etc/securelib 
} 

# 

# 未 列表 服务 样本 

# 

service unlisted 
{ 
type =UNLISTED 
socket_ type =stream 
protocol =tcp 
wait =no 
server =/home/user/some server 
port =20020 

} 


5. xinetd 的 安全 配置 实例 


/etc/xinetd.c/services 文 件 


# 

#default: off 

#description: An internal xinetd service, listing active services 
service services 


{ 

disable =yes 
type =INTERNAL UNLISTED 
port =9098 
socket_ type =stream 
protocol =tcp 
wait =no 
only_from =127.0.0.1 

} 

# 


#/etc/xinetd.c/services 文 件 到 此 结束 


/etc/xinetd.c/servers 文 件 


# 
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#default: off 


#description: Rn internal xinetd service, listing active servers service 


servers 
{ 
disable =yes 
type =INTERNAL UNLISTED 
port =9099 
socket_ type =stream 
protocol =tcp 
wait =no 
only_from =127.0.0.1 
} 
# 
#/etc/xinetd.c/servers 文 件 到 此 结束 
/etc/xinetd/telnet 文 件 
# 


#default: on 
#description: The telnet server serves telnet sessions; it uses\ 


# unencrypted username/password pairs for authentication 
service telnet 
{ 
disable =no 
flags =REUSE 
socket type =stream 
wait =no 
user =root 
server =/usr/sbin/in.telnetd 
log on failure +=USERID 
} 
# 


#/etc/xinetd/telnet 文 件 到 此 结束 


/etc/xinetd/wu-ftpd 文 件 


# 

#default: on 

#description: The wu-ftpd FTP server serves FTP connections. It uses\ 
#normal, unencrypted usernames and passwords for authentication 
service ftp 


{ 
disable =no 
socket type =stream 
wait =no 
user =root 


server =/usr/sbin/in.ftpd 
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server args =-l-a 
log on success +=DURATION 
nice =10 
} 
# 
#/etc/xinetd/wu-ftpd 文 件 到 此 结束 
/etc/xinetd/ssh 文 件 
# 
service ssh 
{ 


socket type=stream 
protocol=tcp 
instances=10 
nice=10 
wait=no 
User=root 
server=/usr/local/sbin/sshd 
server args=-i 
log on failure+=USERID 
only from=192.168.0.0 
no access=192.168.44.0 
no acces s+=192.168.33.0 
} 
# 
#/etc/xinetd.d/ssh 文 件 到 此 结束 


5.3.3 Sudo 


1. Sudo 简介 


Sudo 是 一 个 用 来 允许 系统 管理 员 给 予 特定 的 普通 用 户 (或 者 用 户 组 ) 有 限 的 超级 用 户 
特权 ， 使 其 能 够 以 超级 用 户 或 其 他 用 户 的 身份 运行 一 些 (或 者 所 有 ) 命令 并 且 记 录 其 所 有 
命令 和 参数 的 程序 。 最 基本 的 原则 是 在 普通 用 户 可 以 完成 工作 的 范围 内 给 予 尽 可 能 少 的 特 
权 。Sudo 是 自由 软件 ， 以 BSD 风格 的 许可 证 发 布 。 

Sudo 以 命令 的 方式 操作 ， 它 不 是 shell 的 替代 品 。Sudo 具有 以 下 特征 : 

。 限制 用 户 在 每 台 主 机 上 运行 的 命令 。 

。 Sudo 对 于 每 个 命令 都 进行 记录 ， 可 以 清楚 地 审核 谁 做 了 什么 。 

。 Sudo 为 “通行 证 系统 ”提供 标记 日 期 的 文件 ， 例 如 每 $ 分 钟 更 新 一 次 通行 证 就 可 以 

避免 合法 用 户 离开 终端 的 时 候 被 他 人 盗用 。 

。 Sudo 配置 文件 是 sudoers。 同 一 个 sudoers 可 以 在 多 台 机 器 上 使 用 , 方便 了 定义 用 户 

特权 的 灵活 性 。 

如 果 想 得 到 详细 的 Sudo 手册 ， 可 以 访问 : 
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http://www.courtesan.com/sudo/man/sudoers.html 
2. Sudo 的 获取 和 安装 


1) 首先 获取 Sudo 

Sudo 的 最 新 版 为 2002 年 4 月 25 发 布 的 1.6.6。 

可 以 通过 以 下 几 种 方式 取得 Sudo。 

。 fp 方式 : ftp://ftp.sudo.ws:/pub/sudo/。 

。 web 方式 : http://www.sudo.ws/dist/。 

以 下 是 一 些 镜像 站 点 : 

http://www.rge.com/pub/admin/sudo/ (Rochester, New York, USA) 
http://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/sudo/ (West afayette, Indiana, USA) 
http://core.ring.gr.jp/archives/misc/sudo/ (Japan) 

http://www.ring. gr. jp/archives/misc/sudo/ 

。 葵 名 cvs 方式， 具体 参见 http://www.courtesan.com/sudo/anoncvs.htm 1。 
2) 安装 Sudo 

对 于 源码 包 ， 进 行 如 下 操作 : 


#./configure; make; make install 
对 于 rpm 包 ， 进 行 如 下 操作 : 


#rpm -ivh sudo* 


3. Sudo 的 配置 实例 


/etc/sudoers 样 本 文件 


# 

# 该 文件 必须 以 root 身 份 使 用 visudo 命 令 编辑 

# 

# 阅 读 sudoers 手 册 以 得 到 书写 sudoers 文 件 的 细节 
# 


非 # 

# 指 定 别名 用 户 

## 

User Alias FULLTIMERS=millert, mikef, dowdy 
User Alias PARTTIMERS=bostley, jwfox, crawl 
User Alias WEBMASTERS=will, wendy, wim 


提 # 

# 指 定 别名 Runas 

非 # 

Runas Alias OP=root, operator 
Runas Alias DB=oracle, sybase 
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提 # 
# 指 定 别名 主机 
非 # 
Host Alias SPARC=bigtime, eclipse, moet, anchor: \ 
SGI=grolsch, dandelion, black:\ 
ALPHA=widget, thalamus, foobar:\ 
HPPA=boa, nag, python 
Host Alias CUNETS=128.138.0.0/255.255.0.0 
Host Alias CSNETS=128.138.243.0, 128.138.204.0/24, 128.138.242.0 
Host Alias SERVERS=master, mail, www, ns 
Host_Rlias CDROM=orion, perseus, hercules 


## 

# 指 定 别名 命令 

非 # 

Cmnd Alias DUMPS=/usr/sbin/dump, /usr/sbin/rdump, /usr/sbin/restore, \ 
/usr/sbin/rrestore, /usr/bin/mt 

Cmnd Alias KILL=/usr/bin/kill 

Cmnd Alias PRINTING=/usr/sbin/lpc, /usr/bin/lprm 

Cmnd Alias SHUTDOWN=/usr/sbin/shutdown 

Cmnd Alias HALT=/usr/sbin/halt, /usr/sbin/fasthalt 

Cmnd Alias REBOOT=/usr/sbin/reboot, /usr/sbin/fastboot 

Cmnd Alias SHELLS=/usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \ 
/usr/local/bin/tcsh, /usr/bin/rsh, \ 
/usr/local/bin/zsh 

Cmnd Alias SU=/usr/bin/su 

Cmnd Alias VIPW=/usr/sbin/vipw, /usr/bin/passwd, /usr/bin/chsh, \ 


/usr/bin/chfn 
## 
# 材 盖 默 认 值 
## 
Defaults syslog=auth 
Defaults: FULLTIMERS !lecture 
Defaults: millert !authenticate 
Defaults@SERVERS log_ year, logfile=/var/log/sudo. log 
非 # 
# 指 定 用 户 
非 # 


#root 用 户 和 wheel1 组 的 用 户 可 以 以 任何 身份 在 任何 机 器 上 运行 任何 程序 
root ALL= (ALL) ALL 
Swheel ALL= (ALL) ALL 


# 专 职 系统 管理 员 可 以 在 任何 机 器 上 运行 任何 程序 而 不 需要 密码 
FULLTIMERS ALL=NOPASSWD:ALL 


# 兼 职 系统 管理 员 可 以 运行 任何 程序 ， 但 是 需要 密码 
PARTTIMERS ALL=ALL 
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# jack 可 以 在 CSNETS 的 任何 机 器 上 运行 任何 程序 
jack CSNETS=RLL 


#1isa 可 以 在 CUNETS (一 个 B 类 网 ) 运行 任何 命令 
lisa CUNETS=ALL 


# operator 可 以 保留 /usr/oper/bin/ 下 的 任何 文件 和 命令 
operator ALL=DUMPS, KILL, PRINTING, SHUTDOWN, HALT, REBOOT, \ 
/usr/oper/bin/ 


#joe 只 能 转换 身份 为 operator 


joe ALL=/usr/bin/su operator 


#pete 可 以 更 改 hp snakes 上 除了 root 以 外 的 所 有 用 户 的 密码 
pete HPPA=/usr/bin/passwd [A-z] *, !/usr/bin/passwd root 


#bob 可 以 指定 runas 别 名 列 出 的 任何 用 户 的 身份 在 sparc 和 sgi 机 器 上 运行 任何 程序 
# 
bob SPARC= (OP) ALL:SGI= (OP) ALL 


#jim 可 以 运行 biglab 网 络 组 机 器 上 的 任何 程序 
jim + biglab=ALL 
# 网 络 组 的 用 户 可 以 管理 打印 机 ， 也 可 以 添加 和 删除 用 户 


+secretaries ALL=PRINTING, /usr/bin/adduser, /usr/bin/rmuser 


#fred 不 提供 密码 就 可 以 运行 oracle 或 sybase 等 程序 
fred ALL= (DB) NOPASSWD:ALL 


# 在 alphas 上 ， john 可 以 转换 身份 为 除了 root 之 外 的 任何 人 ， 但 是 不 允许 标记 
john ALPHA=/usr/bin/su [!-] *, !/usr/bin/su*root* 


# 除 了 SERVERS 中 的 别名 主机 外 ，jen 可 以 在 任何 机 器 上 运行 任何 程序 
jen ALL, !SERVERS=ALL 


# 除 了 SU 和 SHELLS 别 名 中 的 命令 外 ，jil11 可 以 运行 /usr/bin/ 目 录 下 的 任何 命令 
jill SERVERS=/usr/bin/，!SU，!SHELLS 
#steve 可 以 用 户 operator 身 份 运行 /usr/local/op_commands/ 目 录 下 的 任何 命令 


steve CSNETS= (operator) /usr/local/op_commands/ 


#matt 需 要 权限 杀 掉 已 经 被 挂 起 的 程序 


matt valkyrie=KILL 


#WEBMASTERS 的 别名 用 户 (will1、wendy 和 wim) 可 以 用 www 
# 《拥有 主页 的 ) 用 户 身份 运行 任何 命令 或 仅仅 转换 身份 为 www 


WEBMASTERS www= (www) ALL, (root) /usr/bin/su www 


# 任 何人 不 需要 密码 就 可 以 用 mount/unmount 别 名 CDROM 指 定 的 任何 机 器 上 的 CD-ROM 
ALL CDROM=NOPASSWD:/sbin/umount/CDROM, \ 
/sbin/mount-o nosuid\, nodev/dev/cd0a/CDROM 
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5.3.4 ”安全 检查 工具 nessus 


1. nessus 简介 


nessus 是 一 个 远程 安全 扫描 器 。 它 是 自由 软件 ， 功 能 强大 ， 更 新 极 快 ， 易 于 使 用 。 安 
全 扫描 器 的 功能 是 对 指定 网 络 进行 安全 检查 与 弱点 分 析 ， 确 定 是否 有 破坏 者 问 入 或 存在 某 
种 方式 的 误 用 ， 寻 找 导 致 对 手 攻击 的 安全 漏洞 。nessus 的 安全 检查 由 plug-ins 插件 完成 。 
例如 useless services 类 的 Echo port open 和 Chargen 插件 用 来 测试 主机 是 否 容易 受到 已 知 的 
echo-chargen 攻击 ; backdoors 类 的 pc anywhere 插件 用 来 检查 主机 是 否 运行 了 BO、 
pcAnywhere 等 后 台 程 序 。 除 插件 外 ，nessus 还 提供 描述 攻击 类 型 的 脚本 语言 (NSSL) 来 
进行 附加 的 安全 测试 。 


2. nessus 的 编译 安装 


(1) 获取 nessus， 下 载 地 址 为 http://www.nessus.orgdownload.html。 
为 了 编译 nessus， 需 要 获得 以 下 4 个 文件 ， 编 译 过 程 必须 按 顺 序 执行 。 


nessus-libraries-x.x.tar.gz 
libnasl-x.x.tar.gz 
nessus-core.x.x.tar.gz 
nessus-plugins.x.x.tar.gz 


(2) 使 用 tar -xzvf*-* 解 开 上 述 4 个 文件 。 
(3) 安装 nessus 库 。 


$cd nessus-libraries 

$./configure 

$make 

#make install (以 root 身 份 执 行 ) 


(4) 安装 libnasl。 


$cd libnasl 

$./configure 

$make 

#make install (以 root 身 份 执 行 ) 


(5) 安装 nessus-core。 


$cd nessus-core 

$./configure 

Smake 

#make install (以 root 身 份 执 行 》 


(6) 安装 nessus-plugins。 
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$cd nessus-plugins 

$./configure 

Smake 

#make install (以 root 身 份 执 行 ) 


注意 : 确信 /etc/ld.so.conf 包含 路 径 /usr/local/lib， 执 行 ldconfig。 
3. nessus 的 配置 


1) nessus 配置 步骤 

(1) 首先 创建 账户 。 

nessusd〈 和 守护 进程 ) 服务 端 有 自己 的 用 户 数据 库 ， 每 个 用 户 都 有 一 套 约 束 。 可 以 在 整 
个 网 络 内 共享 一 个 服务 端 ， 而 每 个 管理 员 有 测试 自己 的 网 络 部 分 。 


$nessus-adduser 
Addition of a new nessusd user 


Login: renaud // 输 入 用 户 名 

Password: secret // 输 入 用 户口 令 

Authentification type (cipher or plaintext) [cipher]: cipher 

Now enter the rules for this user, and hit ctrl-D once you are done: 

(the user can have an empty rule set) 

“等 

Login: renaud 

(2) 配置 nessus daemon。 配 置 文件 是 /usr/local/etc/nessus/nessusd.conf， 可 以 为 nessusd 
设置 几 个 参数 。 通 常 建议 使 用 标准 文件 不 做 更 改 。 

(3) 最 后 启动 nessusd。 


#nessusd-D (root 身 份 执行 ) 


2) Nessus Setup 对 话 框 
下 面 讲解 Nessus Setup 对 话 框 中 各 选项 卡 的 配置 。 
。 使 用 客户 端 。 
5-2 是 Nessusd host 选项 卡 , 在 选项 卡 中 输入 Nessus 服务 器 所 在 的 Linux 机 器 了 地 
端口 号 及 加 密 方式 不 需要 改动 。 下 面 输入 用 户 名 ， 单 击 Log in 按钮 登录 。 
。 安全 配置 。 
安全 配置 按 图 5-3 所 示 Plugins 选项 卡 配置 。 
。 喜爱 的 插件 。 
如 图 5-4 所 示 的 在 Prefs 选项 卡 中 上 半 部 分 是 插件 选择 , 下 面 是 插件 所 能 检查 的 攻击 方 
法 。 单 击 每 个 攻击 方法 会 弹出 一 个 对 话 框 介绍 它 的 危害 性 及 解决 方法 ， 建 议 选择 全 部 的 插 
件 以 增加 安全 扫描 的 完整 性 。 
。 扫描 选项 。 
在 如 图 5-5 所 示 Scan options 选项 卡 中 选择 扫描 选项 。 
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5-2 图 5-3 
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园 sentw the remote OS 
园 Fagment IP pactets (oypasses frewals) 
et ntd ho oa 
[CC Start the sean [ae jC on 
5-4 图 5-5 


。 目标 选择 。 

在 如 图 5-6 所 示 Target selection 选项 卡 中 进行 目标 选择 。 
。 规则 选择 。 

在 如 图 5-7 所 示 User 选项 卡 中 选择 规则 。 
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[Bess Pn Pes Em pon ee) (essuod post J Pgs [Prers. [Sean optons aroet soiection fos creaits] 
Tget seton oo 一 一 一 一- 
onto) TEST [Ra He management 
Pertom a DNS zone transfer 
Commm ] [aa J[ on  ] 
5-6 5-7 
。 开始 测试 。 


单 击 Start scan 按钮 ， 开 始 测试 ， 如 图 5-8 所 示 。 


Ss 
Netscape Server ?PageServices bug 
r 


matream agent Detect 
-一 一 一 一 | 


Dote of the dy 
ee 


CR 
SMB use domain SID to enamerate users 


图 5-8 


。 测试 结果 。 

如 图 5-9 所 示 ， 窗 口 左边 列 出 了 所 有 被 扫描 的 主机 ， 用 鼠标 单 击 主机 名 称 ， 在 窗口 右 
边 会 列 出 经 扫描 发 现 的 该 主机 安全 漏洞 单 击 安全 漏洞 的 小 图 标 会 列 出 该 问题 的 严重 等 级 、 
问题 的 产生 原因 及 解决 方法 。 最 后 ， 还 可 以 将 扫描 结果 以 多 种 格式 存盘 ， 作 为 参考 资料 供 
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以 后 使 用 。 


Sohtion : instal 省 the hlest Merosoft Security Patches 


Having the regsbry accessble to the worid 
rot a go0d thing 2 gives ectra inowiedge to 
hacker 


Sohtion ; ffter neoming traffic to this port or st 
bont logn restrctions, 


Rok factor : Low 
The domain SID can be cbtaned remotely. Its vale ls 


INTRANET : 5-21-20333150-368275040-1646912389 


OO Cy cow 


5.3.5 监听 工具 sniffit 


sniffit 是 可 以 在 Linux、SunOS、Solaris、FreeBSD 和 IRIX 平台 运行 的 网 络 监听 软件 ， 
主要 用 于 监听 运行 TCP/IP 协议 的 计算 机 以 监听 其 不 安全 性 。 因 为 数据 包 必须 经 运行 sniffit 
的 计算 机 才能 进行 监听 ， 所 以 它 只 能 监听 同一 个 网 段 上 的 计算 机 ， 可 以 为 其 增加 某 些 插件 
以 实现 额外 功能 。 可 以 配置 sniffit 在 后 台 运 行 以 检测 TCP/TP 端口 上 用 户 的 输入 输出 信息 。 
用 户 可 以 选择 源 、 目标 地 址 或 地 址 集合 , 还 可 以 选择 监听 的 端口 、 协 议和 网 络 接口 等 。sniffit 
会 将 监听 到 的 数据 包 内 容 存 放 在 当前 工作 目录 下 ， 可 以 直接 查看 。 由 于 需要 将 网 卡 午 入 混 
杂 模式 ， 所 以 必须 用 root 权限 运行 。 

1. sniffit 的 获取 

可 以 从 http:/reptile.rug.ac.be/ 一 coder/snifftysniffithtml 得 到 。 

2. sniffit 的 安装 

#tar xvfz sniff*.*.tgz // 解 开 压缩 文 件 

#cd**#  ”// 进 入 文件 解 开 后 存放 的 目录 

#./configure 


#make 
#make clean 


3. sniffit 的 主要 参数 
主要 参数 如 表 5-18 所 示 。 
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表 5-18 snifft 的 主要 参数 表 


参 描述 
-c<file> 通过 脚本 运行 程序 
-F<device> 强制 使 用 网 络 硬盘 
-i 交互 模式 ， 可 以 查看 网 络 中 正在 连接 的 机 器 及 其 使 用 的 端口 号 
-n 显示 假 数 据 包 ， 包 括 使 用 ARP、RARP 的 其 他 非 IP 数据 包 
i 记录 连接 到 <port> 的 包 ，port 为 0 记录 所 有 的 端口 ， 默 认为 0， 只 用 


于 TCP 和 UDP 数据 包 


-S<ip nr/name> 


监听 从 某 IP 发 出 的 数据 包 ， 可 以 使 用 @ 通 配 符 选 择 地 址 范围 ， 如 -s 
199.11@ 


-t<ip nr/name> 


监听 发 送 到 某 IP 的 数据 包 ， 可 以 使 用 @ 通 配 符 选 择 地 址 范围 ， 如 -t 
199.11@ 


注意 : -t 或 -s 适用 于 TCP/UDP 数据 包 ， 对 ICMP 和 了 人 P 也 进行 解释 。 


4. sniffit 的 实例 


假定 ， 同 一 子 网 的 两 台 主机 ，L 运行 了 sniffer， 另 一 台 Y 的 IP 为 202.206.196.6。 
。 检查 sniffer 是 否 运行 且 另 开 一 个 窗口 。 


sniffit:~/#sniffit -d -p 7 -t 202.206.196.6 


。 sniffer 捕获 了 telnet 到 对 方 7 号 端口 echo 服务 的 包 。 


sniffit: 一 /Stelnet Y7 


。 截获 Y 上 的 用 户 密码 。 


sniffit:~/#sniffit -p 23 -t 202.206.196.6 


。 截获 所 有 用 户 通 过 YY 接收 邮件 的 POP3 账号 和 密码 。 


sniffit:~/#sniffit -p 110 -t 202.206.196.6& 
sniffit:~/#sniffit -p 110 -s 202.206.196.6& 


。 查看 FTP 连接 。 


sniffit:~/#sniffit -p 21 -1 0 -t 202.206.196.6 
。 截获 错误 发 生 的 控制 信息 。 


sniffit:~/#sniffit -P icmp -b -s 202.206.196.6 


。 执行 脚本 。 


sniffit -c <scriptname> 


sniffit 监听 到 的 内 容 通 常 以 IP 数据 文件 的 形式 存储 在 当前 目录 下 ， 例 如 : 


[root@mail test] #../sniffit -t 202.199.248.11 
Supported Network device found. (eth0) 
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Sniffit.0.3.7 Beta is up and running.... (202.199.248.11) 
Gracefull shutdown... 

[root@mail test] #1s 

202.112.94.108.34389- 202.199。248 .11.23 
202.206.197.227.2080-202.199.248.11.20 


文件 名 202.112.94.108.34389-202.199.248.11.23 表示 由 202.112.94.108 的 34389 端口 发 
送 到 202.199.248.11 的 23 端口 的 数据 包 。 


5. ToD 插件 


ToD (TOuch of Deatch) 是 sniffit 最 有 名 的 一 个 插件 ， 也 称 “TCP 杀手 ”。 当 监听 到 一 
个 TCP 连接 (包括 该 连接 是 某 两 台 主 机 间 的 TCP 连接 ， 与 监听 程序 所 在 主机 无 关 )， 可 以 
轻易 地 将 该 TCP 连接 切断 。 这 种 方法 的 原理 很 简单 ， 只 要 向 TCP 连接 中 的 一 台 主机 发 送 
一 个 断 开 连 接 的 他 包 即 可 (将 他 包 的 RST 位 设置 为 1)。 


5.3.6 ”扫描 工具 nmap 


1. 简介 


nmap (Network Mapper) 是 开放 源码 的 网 络 探测 和 安全 扫描 工具 。 虽 然 它 主要 是 用 来 
快速 扫描 大 型 网 络 , 但 在 单 主机 上 也 能 很 好 地 工作 。nmap 可 以 找到 网 络 上 有 哪些 主机 , 它 
们 提供 了 什么 服务 (端口 )， 运 行 的 是 何 种 操作 系统 ， 过 滤器 /防火 墙 使 用 哪些 类 型 的 包 及 
其 他 的 许多 特征 。nmap 可 以 在 绝 大 多 数 类 型 的 计算 机 上 运行 ， 有 命令 行 和 图 形 界面 版 本 。 

nmap 具有 下 述 特点 。 
灵活 : 支持 多 种 高 级 探测 技术 , 包括 UDP、TCP connect、TCP SYN、 ftp 代理 (bounce 
攻击 ) 、 反 向 标志 、ICMP、FIN、ACK 扫描 、 圣 诞 树 (Xmas Tree) 、SYN 扫描 和 
室 (Null) 扫描 。 可 以 探测 有 了 P 过 滤 、 防 火 墙 、 路 由 器 和 其 他 限制 的 网 络 。 
强大 : nmap 可 以 扫描 拥有 万 台 以 上 机 器 的 巨型 网 络 。 

可 移植 :支持 绝 大 多 数 操作 系统 类 型 , 包括 Linux、Open/Free/Net BSD、Solaris、IRIX、 
MacOSX、HP-UX 和 Sun OS 等 。 测 试 版 也 提供 Windows 支持 。 

容易 : nmap 为 高 级 用 户 提供 大 量 丰富 的 高 级 特征 ， 包 括 通过 TCP/IP 协议 栈 特 征 探 
测 操作 系统 类 型 、 秘 密 扫 描 、 动 态 延 时 和 重 传 计算 、 并 行 扫描 、 通 过 并 行 ping 扫描 
探测 关闭 的 主机 、 诱 饵 扫描 、 避 开端 口 过 滤 检 测 、 直 接 RPC 扫描 (无需 端口 映射 ) 、 
碎片 扫描 ， 以 及 灵活 的 目标 和 端口 设 定 。 

自由 : nmap 遵循 GPL 版 权 ， 可 以 免费 下 载 修改 发 布 。 

良好 的 文档 支持 :有 丰富 的 man 手册 、 向 导 等 帮助 文档 。 

技术 支持 : 除了 可 以 写 信 给 作者 之 外 ， 还 可 以 加 入 邮件 列表 。 

流行 :每 天 都 有 成 千 的 人 下 载 nmap, 涵盖 各 种 操作 系统 (Redhat Linux、Debian Linux、 
FreeBSD 和 OpenBSD 等 ) ， 为 nmap 提供 了 活跃 的 开发 和 用 户 支持 社区 。 

可 以 从 nmap 的 主页 http://www.insecure.org/nmap/index.html 下 载 nmap 或 者 获得 更 多 
的 信息 。 


扫描 类 型 
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2. nmap 的 使 用 
nmap 的 语法 格式 
nmap [扫描 类 型 ] [选项 ] < 主机 或 网 络 号 #1… [#N] > 


。 扫描 类 型 
扫描 类 型 是 可 选 的 ， 各 类 型 如 表 5-19 所 示 。 


表 5-19 nmap 的 扫描 类 型 表 
描述 


-b<fp 中 


转 主 机 > 


。 选 项 


FTP 反弹 攻击 〈bounce attack): 连接 到 防火 墙 后 的 FTP 服务 器 进行 端口 扫描 ; 
参数 指定 要 作为 代理 的 FTP 服务 器 ， 语 法 格式 为 -b username: pass-word @server: port 
ACK 扫描 : 通常 用 来 穿 过 防火 墙 的 规则 集 ， 这 有 助 于 确定 一 个 防火 墙 功 能 比较 完善 或 是 
简单 的 包 过 滤 程 序 ， 只 是 阻塞 进入 的 SYN 包 。 这 种 扫描 方式 不 能 找 出 处 于 打开 状态 的 
端口 

秘密 FIN 数据 包 扫描 、 圣 诞 树 “Xmas Tree) 扫描 和 空 (Null) 扫描 模式 : 在 SYN 扫描 无 
法 确定 的 情况 下 使 用 ， 可 以 逃 过 一 些 防火 墙 和 包 过 滤 软 件 的 干扰 

ping 扫描 : 检查 网 络 上 哪些 主机 正在 运行 。nmap 在 任何 情况 下 都 进行 ping 扫描 ， 只 在 目 
标 主机 处 于 运行 状态 时 才 进 行 后 继 扫 描 ， 当 只 检查 目标 主机 是 否 运行 才 用 该 选项 

RPC 扫描 : 与 除 诱饵 扫描 外 ， 其 他 端口 扫描 方法 结合 使 用 ， 检 查 所 有 处 于 打开 状态 的 端口 
是 否 为 RPC 端口 ， 若 是 则 确定 其 软件 及 版 本 号 

TCP 同步 扫描 《TCP SYN): 通常 称 为 半 开 扫描 (half-open)， 用 于 检查 目标 端口 是 否 有 程 
序 监听 ， 需 root 权限 定制 SYN 数据 包 。 很 少 有 系统 能 够 把 这 种 扫描 记 入 系统 日 志 

TCP connect 扫描 : 最 基本 的 TCP 扫描 方式 , 用 于 检查 目标 端口 是 否 有 程序 监听 , 无 需 root 
权限 即 可 自由 使 用 。 这 种 扫描 会 被 目标 主机 的 日 志 记录 下 大 批 的 连接 请 求 及 错误 信息 
UDP 扫描 : 检查 某 台 主机 提供 哪些 UDP (用 户 数 据 报 协议 ，RFC768》 服 务 

对 滑动 窗口 的 扫描 : 非常 类 似 于 ACK 扫描 ， 但 有 时 可 以 检测 到 处 于 打开 状态 的 端口 


选项 是 可 选 的 ， 其 含义 如 表 5-20 所 示 。 


参 


表 5-20 nmap 的 通用 选项 
数 描述 


扫描 前 不 必 ping 主机 ， 用 于 有 不 允许 ICMP echo 请 求 穿 过 的 防火 墙 的 网 络 


扫描 前 用 TCP ping 确定 哪些 主机 正在 运行 ， 使 用 -PT< 端 口号 > 来 设 定 目标 端 
口 ， 默 认 80， 因 为 通常 不 会 过 滤 该 端口 


对 于 root 用 户 ， 令 nmap 使 用 SYN 包 而 不 是 ACK 包 对 目标 主机 进行 扫描 


令 nmap 使 用 真正 的 ping (ICMP echo 请 求 ) 扫描 目标 主机 是 否 正在 运行 


默认 的 ping 扫描 选项 ， 它 使 用 ACK (-PT) 和 ICMP〈-PI) 两 种 扫描 类 型 并 
行 扫描 


激活 对 TCP/IP 指纹 特征 (fingerprinting) 的 扫描 ， 获 得 远程 主机 的 标志 ， 即 
检测 目标 主机 操作 系统 网 络 协议 栈 的 特征 来 获知 目标 主机 操作 系统 的 类 型 


打开 nmap 的 反 向 标志 扫描 功能 


令 nmap 使 用 碎片 IP 数据 包 发 送 SYN、FIN、XMAS 和 NULL。 使 用 碎片 数 
据 包 增 加 包 过 滤 、 入 侵 检 测 系统 的 难度 ， 使 其 无 法 知道 你 的 企图 。 不 过 有 些 
程序 在 处 理 这 些 碎片 包 时 会 有 麻烦 ， 虽 然 包 过 滤器 和 防火 墙 不 能 防止 这 种 方 
法 ， 但 有 很 多 网 络 出 于 性 能 上 的 考虑 ， 禁 止 数据 包 的 分 片 


-V 


宛 余 模式 ， 给 出 扫描 过 程 中 的 详细 信息 ， 使 用 -d 选项 可 得 到 更 详细 的 信息 
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参数 


描述 


-h 


快速 参考 选项 


-ON <logfilename> 


将 扫描 结果 重 定向 到 一 个 可 读 文 件 logfilename 中 


-OM <logfilename> 


将 扫描 结果 重 定向 到 logfilename 文件 。 若 使 用 它 来 代替 logfilename， 输 出 被 
重 定向 到 标准 输出 而 覆盖 正常 的 输出 。 同 时 使 用 -v 选项 ， 可 在 屏幕 上 打印 出 
其 他 信息 


-0S <logfilename> 


将 扫描 结果 重 定向 到 logfilename 文件 ， 使 用 它 则 重 定向 到 标准 输出 


恢复 中 断 的 扫描 项 (使 用 中 断 前 的 选项 )， 接 着 logfilename 日 志文 件 中 的 最 后 


“resume <logfilename> | 一 次 成 功 扫描 进行 新 的 扫描 

-iL <inputfilename> 从 inputfilename 文件 读 取 扫 描 目 标 ， 使 用 它 从 标准 输入 读 取 主 机 名 

-iR 令 nmap 随机 挑选 主机 扫描 

了 p< 端口 选择 要 进行 扫描 的 端口 号 范围 ， 默 认为 1 一 1024， 以 及 nmap-services 文件 中 


-F 


定义 的 端口 列表 
快速 扫描 模式 ， 只 扫描 nmap-services 文件 中 列 出 的 端口 


-D <decoy1[, decoy2] 
[，ME]，…> 


使 用 诱饵 扫描 方法 对 目标 网 络 /主机 进行 扫描 ， 可 以 有 效 地 对 付 一 些 积极 防御 
机 制 ， 很 好 地 隐藏 你 的 IP 地 址 。 每 个 诱饵 主机 名 之 间 用 逗号 分 开 ，ME 选项 
代表 自己 的 主机 ， 与 诱饵 主机 名 混杂 在 一 起 


-S <IP_Address> 


nmap 可 能 无 法 确定 源 址 〈 由 nmap 提示 )， 使 用 该 选项 给 出 你 的 耳 地址。 在 
欺骗 扫描 时 使 用 该 选项 可 令 目 标 认为 是 其 他 的 主机 对 自己 进行 扫描 


-© 指定 nmap 发 送 和 接收 数据 包 的 接口 
-g <portnumber> 设置 扫描 源 端口 
-Tr 禁止 nmap 打 乱 被 扫描 端口 的 顺序 


-randomize_hosts 


在 nmap 扫描 前 ， 打 乱 每 组 扫描 中 的 主机 顺序 ， 令 扫描 更 不 易 被 网 络 监视 器 发 
现 ， 与 --scan_delay <milliseconds> 选 项 组 合 使 用 效果 更 佳 


-M <max sockts> 


设置 进行 TCP connect 扫描 时 用 套 接 字 进行 扫描 的 最 大 数 


。 主机 或 网 络 号 


在 nmap 的 所 有 参数 中 ， 只 有 目标 参数 主机 或 网 络 号 是 必须 给 出 的 。 可 以 在 命令 行 直 


接 输入 


-个 主机 名 或 者 一 个 人 P 地 址 。 若 希望 扫描 某 个 IP 地 址 的 一 个 子 网 ， 可 以 在 主机 名 


或 人 PP 地址 的 后 面 加 上 “/ 掩 码 ”， 掩 码 为 /0 扫描 整个 网 络 ， 为 /32 只 扫描 该 主机 ， 为 /24 扫描 


C 类 地 址 ， 为 /16 扫描 B 类 地 址 。 


下 面 三 种 形式 等 价 指定 128.210.*.* : : 128.210.*.#、 


128.21-.0-255.0-255 或 128.210.0.0/16。 


3. 扫描 示例 


1) Ping 扫描 


扫描 192.168.7.0 网 络 指定 端口 : 


#nmap -SP -PT80 192.168.7.0/24 
TCP probe port is 80 


Starting nmap V.2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) 
Host (192.168.7.11) appears to be up. 

Host (192.168.7.12) appears to be up. 

Host (192.168.7.76) appears to be up. 

Nmap run completed --256IP addresses (3 hosts up) scanned inl second 
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2) 端口 扫描 (Port Scanning) 


#nmap -sST 192.168.7.12 

Starting nmap V.2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) 
Interesting ports on (192.168.7.12) 

Port State Protocol Service 

7 open tcp echo 

9 open tcp discard 

13 open tcp daytime 

19 open tcp chargen 

21 open tcp ftp 


Nmap run completed --1 IP address (lhost up) scanned in3 seconds 
3) 隐蔽 扫描 (Stealth Scanning) 
#nmap -sS 192.168.7.7 


Starting nmap V.2.12 by Fyodor (fyodor@ dhp.com, www.insecure.org/nmap/) 
Interesting ports on saturnlink.nac.net (192.168.7.7) 

Port State Protocol Service 

21 open tcp ftp 

25 open tcp smtp 

53 open tcp domain 

80 open tcp http 


Nmap run completed --1 IP address (1 host up) scanned in 1 second 
4) UDP 扫描 (UDP Scanning) 
#nmap -SU 192.168.7.7 


WARNING:-sU is now UDP scan --for TCP FIN scan use -SF 
Starting nmap V.2.12 by Fyodor (fyodor@ dhp.com, www.insecure.org/nmap/) 
Interesting ports on saturnlink.nac.net (192.168.7.7) : 
Port State Protocol Service 

53 open udp domain 

111 open udp sunrpc 

123 open udp ntp 

137 open udp netbios -ns 

138 open udp netbios -dgm 

177 open udp xdmcp 

1024 open udp unknown 


Nmap run completed --1 IP address (1 host up) scanned in 2 seconds 


5) 操作 系统 识别 (OS Fingerprinting) 
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#nmap -SS -0 192.168.7.12 


Starting nmap V.2.12 by Fyodor (fyodor@ dhp.com, www.insecure.org/nmap/) 
Interesting ports on comet (192.168.7.12) 

Port State Protocol Service 

7 open tcp echo 

9 open tcp discard 

13 open tcp daytime 

19 open tcp chargen 

21 open tcp ftp 

TCP Sequence Prediction:Class=random positive increments 
Difficulty=17818 (Worthy challenge) 

Remote operating system guess:Solaris2.6 -2.7 

Nmap run completed --1 IP address (1 host up) scanned in 5 seconds 


6) Ident 扫描 (Ident Scanning) 


#nmap -sT -p 80 -I -0O www.YyYourserVer .com 


Starting nmap V.2.12by Fyodor (fyodor@ dhp.com, www.insecure.org/nmap/) 
Interesting ports on www.yourserver.com (XxXxX.XXX.xxX.xxx) : 

Port State Protocol Service Owner 

80 open tcp http root 


TCP Sequence Prediction:Class=random positive increments 
Difficulty=1140492 (Good luck!) 
Remote operating system guess:Linux2.1.122 -2.1.132;2.2.0 -prel -2.2.2 


Nmap run completed --1 IP address (1 host up) scanned in 1 second 


7) 使 用 nmap 监视 自己 的 站 点 
系统 和 网 络 管理 员 将 能 发 现 潜在 入 侵 者 对 你 的 系统 的 探测 。 


5.3.7 ”其 他 安全 工具 


下 面 列 出 了 一 些 常用 的 安全 工具 。 


Netcat http://www.10pht .com/~weld/netcat/ 

Tcpdump http://www.tcpdump .org/ 

Snort http://www.snort.org/ 

Saint http://www.wwdsi.com/saint/ 

Ethereal http://ethereal.zing.org/ 

Whisker http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2 


Abacus Portsentry http://www.psionic.com/abacus/portsentry/ 
DSniff http://naughty.monkey.org/~dugsong/dsniff/ 
Tripwire http://www.tripwire.com/ 
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Cybercop Scanner http://www.pgp.com/asp_ set/products/tns/ccscanner 
intro.asp 
Hping2 http://www.kyuzz.org/antirez/hping/ 
SARA http://www-arc.com/sara/ 


5.4 配置 安全 可 靠 的 系统 


现在 来 讨论 如 何 配置 一 个 安全 可 靠 的 Linux 系统 ， 当 然 ， 真 正 的 安全 是 不 存在 的 ， 我 
们 要 做 的 ， 是 尽量 让 系统 在 一 开始 就 避免 出 现 前 面 说 的 大 部 分 问题 ， 为 此 ， 需 要 正确 配置 
系统 中 的 大 部 分 服务 程序 。 特 别 是 需要 用 可 靠 的 服务 代替 那些 容易 遭受 攻击 的 服务 。 


5.4.1 SSH 实践 


Telnet 和 FTP 服务 是 最 容易 遭 到 窃听 的 ， 因 此 ， 通 常 都 要 用 SSH 和 sftp 来 取代 它们 。 
当然 ，FTP 服务 很 多 时 候 不 能 取代 ， 所 以 很 多 情况 下 ， 需 要 同时 使 用 sftp 和 FTP， 后 者 只 
用 来 提供 匿名 FTP 服务 。 

SSH 有 两 个 版 本 : sshl 和 ssh2，sshl 和 ssh2 命令 基本 上 一 致 ， 只 是 算法 的 区 别 。 因 为 
本 文 的 实践 环境 为 redhat 8.0， 而 其 自 带 ssh1， 所 以 只 讨论 ssh1。 


1. 使 用 前 的 准备 
首先 必须 检查 系统 是 否 自 带 了 SSH， 这 可 以 通过 命令 ssh -1 进行 测试 ， 如 果 出 现 SSH 
的 使 用 提示 表示 已 带 SSH。 另 外 ， 也 要 检查 是 否 已 有 sshd。 若 具备 了 上 述 条 件 ， 则 不 必 手 


工 安装 ， 若 不 具备 ， 那 么 需要 下 载 相应 软件 安装 。Openssh 的 下 载 地 址 为 http://www. 
openssh.org/。 


2. OpenSSH 的 安装 


(1) 如 果 下 载 的 是 rpm 包 ， 用: 


rpm -vi opens sh*.rpm 


(2) 如 果 下 载 的 是 源码 ， 用 : 


tar ZXVf openssh*.tar.gz 
./configure 

make 

make install 


(3) 安装 完成 后 的 测试 : 
ssh [-1 login name] hostnamelusere hostname [command] 


若 OpenSSH 工作 正常 ， 将 显示 提示 信息 。 例 如 : 
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[wly@ cs cs] $ssh -1 wly localhost 

The authenticity of host'localhost (127.0.0.1) 'can't be established. 
RSA key fingerprint is57:1f:b6:12:72:d6:01:52:9a:c2:83:b3:08:fd:8e:eb. 
Are You sure you want to continue connecting (yes/no)? 


如 果 是 第 一 次 登录 到 某 一 台 主 机 ，OpenSSH 会 出 现 上 面 的 提示 ,表示 在 它 的 默认 标志 
库 中 找 不 到 这 台 机 器 的 内 容 。 输 入 yes,， 这 时 把 主机 的 “识别 标记 ”加 入 一 /ssh/know_hosts 
文件 。 若 是 第 二 次 访问 就 不 再 显示 上 面 的 提示 信息 了 。 随 后 ，SSH 提示 输入 账号 口令 。 口 
令 输入 完毕 则 建立 了 SSH 连接 。 以 后 使 用 SSH 类 似 于 telnet。 


3. SSH 密 钥 的 生成 和 管理 


SSH 的 密 钥 是 用 ssh-keygen 程序 管理 的 。 
SSH 程序 的 主要 语法 格式 


ssh -keygen [-q] [-b 密 钥 位 数 ] -t type [-N 新 密 钥 ] [-c 注释 ] [-f 输出 密 钥 文件 ] 
ssh -keygen -p [-P 旧 密 钥 ] [-N 新 密 钥 ] [-f 密 钥 文件 ] 

ssh -keygen -e [-f] 

ssh -keygen -Yy[-f 输入 密 钥 文件 ] 

ssh -keygen -c [-P 密 钥 ] [-c 注释 ] [-f 密 钥 文件 ] 

ssh -keygen -1 [-f 输入 密 钥 文件 ] 

ssh -keygen -B [-f 输入 密 钥 文件 ] 

ssh -keygen -D reader 

ssh -keygen -U reader [-f 输入 密 钥 文件 ] 


这 里 的 命令 行 参数 的 含义 如 表 5-21 所 示 。 


表 5-21 命令 行 参数 描述 
参数 描述 
-C 请 求 变 更 公有 私有 密 钥 文件 注释 
DD 下 载 存储 在 reader 智能 卡 的 RSA 公有 密 钥 
-© 读 私有 或 公有 OpenSSH 密 钥 文件 以 SECSH 公有 密 钥 文件 形式 标准 输出 
-f 指定 密 钥 文件 名 
-1 显示 指定 公有 密 钥 文 件 指纹 
-N 提供 新 密 钥 
-p 请 求 变更 私有 密 钥 文件 的 密 钥 而 不 是 建立 新 的 私有 密 钥 
-q 用 于 生成 新 密 钥 时 停止 sh-keygen 
二 SSH 可 以 为 sshl 生成 RSA 密 钥 , 为 ssh2 生成 RSA 或 DSA 密 钥 , 密 钥 的 类 型 由 -t 指定 ， 
对 于 sshl 可 能 值 为 rsal， 对 于 ssh2 可 能 值 为 rsa 或 dsa 
-U 上 载 已 存在 的 RSA 私有 密 钥 到 reader 智能 卡 
可 读 私 有 OpenSSH 格式 的 文件 标准 输出 OpenSSH 公有 密 钥 


下 面 是 ssh-keygen 密 钥 生成 的 一 个 实例 。 
® [wly@ cs cs]$ssh-keygen -trsal 


Generating public/privater salkey pair. 
Enter file in which to save the key (/home/wly/.ssh/identity) : ( 
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Enter passphrase (empty for no passphrase) : ( 

Enter same passphrase again: ( 

Your identification has been saved in/home/wly/.ssh/identity. 
Your public key has been saved in/home/wly/.ssh/identity.pub . 
The key fingerprint is: 
9c:3a:a0:11:9a:39:c2:b5:5c:a6:af:e6:94:df:db:95wly@ cs 

[wlye cs cs] $ 


。[wly@ cs cs] $ssh-keygen -d 


Generating public/private dsa key pair. 

Enter file in which to save the key (/home/wly/.ssh/id dsa) : 
Enter passphrase (empty for no passphrase) : 

Enter same passphrase again: 

Your identification has been saved in/home/wly/.ssh/id dsa. 
Your public key has been saved in/home/wly/.ssh/id dsa.pub. 
The key fingerprint is: 
fd:93:bc:49:18:bb:88:31:0a:3d:f7:ee:le:e3:42:99wly@ cs 

[wlye cs cs] $ 


Ssh-keygen -d 与 ssh-keygen -t 类 似 ， 默 认 情 况 下 ， 只 是 将 一 对 密 钥 存 为 /home/ [user] 
/ssh/id_dsa (私有 密 钥 ) 和 /home/ [user] /.ssh/id_dsa.pub〈 公 有 密 钥 )。 

公有 密 钥 需要 分 发 到 所 有 想 用 SSH 登录 的 远程 主机 上 去 , 私有 密 钥 址 要 好 好 保管 防止 
他 人 知道 ， 如 : 


[wly@ cs cs] $1s -1~/.ssh/identity 


-IrW------- 1 wly wly 524 10 月 2 20:48/home/wly/.ssh/identity 
[wlye cs cs] $1s -1~/.ssh/id dsa 
-IrW------- 1 wly wly 668 10 月 2 21:17/home/wly/.ssh/id dsa 


注意 这 里 ls 的 结果 显示 文件 的 访问 权限 必须 是 -rw-------。 

如 果 密 钥 已 经 被 别人 知道 ， 马 上 生成 一 对 新 的 密 钥 。 当 然 ， 也 需要 重新 分 发 一 次 公有 

公有 密 钥 需要 经 过 分 发 才能 使 用 ， 为 此 ， 需 要 执行 : 

[wlye cs cs] $md.ssh 

[wlye cs cs] $cp identity.pub authorized keys 

[wlye cs cs] $chmod 644.ssh/authorized keys 

上 述 过 程 需要 分 别 在 每 个 用 SSH 连接 的 远程 服务 器 上 完成 。 为 了 对 于 authorized_keys 
保证 他 人 没有 写 的 权限 ， 保 证 SSH 工作 ，chmod 是 必须 使 用 的 命令 。 

如 果 想 从 不 同 的 计算 机 登录 到 远程 主机 , authorized_keys 文件 也 可 以 有 多 个 公用 密 钥 。 
这 种 情况 下 必须 在 新 的 计算 机 上 重新 生成 一 对 密 钥 ， 然 后 重复 上 述 过 程 。 需 要 注意 的 是 ， 
当 取消 了 主机 上 的 账号 之 后 ， 别 忘 了 删 掉 这 对 密 钥 。 

4. SSH 配置 


1) 配置 SSH 客户 端 
OpenSSH 的 配置 数据 可 以 有 三 种 语法 形式 ， 按 照 优 先 权 从 大 到 小 的 顺序 分 别 是 : 命令 
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行 选项 、 用 户 配 置 文件 〈 一 /ssh/config) 和 系统 配置 文件 (/etc/ssh/ssh_config)。 所 有 的 命 
令 行 选 项 均 能 在 配置 文件 中 设置 。 因 为 任何 配置 值 都 是 首次 设置 时 有 效 ， 所 以 指定 主机 的 
声明 应 该 位 于 配置 文件 的 最 初 ， 而 默认 值 则 放 于 文件 末尾 。 

下 面 是 /etc/ssh/ssh_config 文件 的 内 容 ， 用 户 配置 文件 可 以 从 系统 配置 文件 修改 得 到 ， 
文件 中 选项 的 说 明 如 表 5-22 所 示 。 


表 5-22 config 文件 说 阴 表 


选 项 描述 

BatchMode 如 果 设 为 yes， 禁 用 密 钥 /密码 查询 ， 默 认为 no 

BindAddress 指定 从 多 接口 或 亿 别名 的 计算 机 传输 所 用 接口 

CheckHostP 若 设 为 yes，SSH 将 附加 检查 已 知 主机 文件 中 的 主机 IP 地 址 ， 该 选项 可 以 
进行 IP 地 址 检查 以 防止 DNS 欺骗 

Cipher 指定 sshl 所 用 加 密 算法 

Compression 指定 是 否 使 用 压缩 

CompressionLevel 压缩 的 级 别 ，1 (最 快 ) ~9( 压 缩 率 最 高 )， 默 认 值 为 6 

FallBackToRsh 如 果 远 程 主机 拒绝 ssh 连接 (比如 没有 sshd 服务 )， 是 耕 自动 改 用 rsh 连接 

ForwardAgent 指定 到 认证 机 构 的 连接 是 否 转发 到 远程 主机 

RorwardX11 指定 是 否 XI11 连接 自动 通过 安全 通道 重 定向 和 DISPLAY 设置 ,本 地 运行 远 
程 X 程序 必须 设置 该 选项 

GatewayPorts 指定 远程 主机 是 否 允 许 连接 到 本 地 转发 端口 

总 在 遇 到 下 一 个 关键 字 前 ， 限制 匹配 关键 字 后 给 定 模式 之 一 的 主机 声明 ， 支 
持 通配符 “*” 和 “?” 

HostName 指定 登录 的 真实 主机 名 


指定 用 户 认证 的 RSA 或 DSA 识别 需要 读 取 的 文件 ， 默 认为 SHOME/. 


TdentityFilo ssh/identity (ssh1)、 $HOME/.ssh/id_rsa 和 $HOME/.ssh/id_dsa (ssh2) 
PasswordAuthentication 指定 是 否 使 用 密码 认证 

Port 指定 连接 到 远程 主机 的 端口 号 ， 默 认 值 为 22 

Protocol 指定 SSH 以 优先 序 应 该 支持 的 协议 版 本 

RSAAuthentication 指定 是 否 使 用 RSA 认证 

User 指定 登录 用 户 


/etc/ssh/ssh_config 文 件 


Host * 

ForwardAgent no 

ForwardX11 no 
RhostsAuthentication yes 
RhostsRSAAuthentication yes 
RSAAuthentication yes 
PasswordAuthentication yes 
FallBackToRsh no 

UseRsh no 

BatchMode no 

CheckHostIP yes 
StrictHostKeyChecking ask 
IdentityFile ~/.ssh/identity 
IdentityFile ~/.ssh/id rsa 
IdentityFile ~/.ssh/id dsa 


间 井 间 间 间 间 大井 间 间 着 间 着 间 砷 
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# Port 22 

# Protocol 2, 1 

# Cipher 3des 

# Ciphers aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour, aes 
192-cbc, aes2 


# EscapeChar ~ 
Host 站 


ForwardX11 yes 

ForwardAgent no 

FallBackToRsh no 
#/etc/ssh/ssh_config 文 件 到 此 结束 


2) 配置 SSH 服务 端 
SSH 服务 器 配置 文件 是 /etc/ssh/sshd_config， 对 于 SSH1.x 和 2.x，OpenSSH 的 配置 文 
件 是 一 样 的 。 下 面 是 /etc/ssh/sshd_config 的 内 容 。 


/etc/ssh/sshd_config 文 件 


#Port 22 

#Protocol 2, 1 
#ListenAddress 0.0.0.0 
#ListenAddress :: 


#ssh1 的 HostKey 
#HostKey/etc/ssh/ssh host_ key 


# 记 录 


SyslogFacility AUTHPRIV 
LogLevel INFO 


# 认 证 
PermitRootLogin Yes 


# 是 否 允许 超级 用 户 登录 ， 和 telnet 不 同 ， SSH 默 认 人 允许 超级 用 户 登 录 
StrictModes yes 


RSAAuthentication yes 
PubkeyAuthentication yes 
AuthorizedKeysFile .ssh/authorized keys 


# 禁 用 rhosts 认 证 

RhostsAuthentication no 

# 禁 读 用 户 的 一 / .rhosts 和 一 /.shosts 文 件 

IgnoreRhosts yes 

#/etc/ssh/ssh_known_hosts 中 需要 host keys 
RhostsRSAAuthentication no 

IgnoreUserKnownHosts no 

# 把 这 个 选项 设置 为 no， 只 人 允许 用 户 用 基于 密 钥 而 非 基于 口令 方式 登录 , 
# 能 在 很 大 程度 上 提高 系统 的 安全 性 


PasswordAuthentication yes 


182 


计算 机 网 络 安全 管理 〈 第 2 版 ) 


PermitEmptyPasswords no 


X11Forwarding no 
X11Forwarding yes 
#X11DisplayOffset 10 
#X11UseLocalhost yes 
PrintMotd yes 
#PrintLastLog yes 
#KeepAlive yes 
UseLogin no 


MaxStartups10 
no default banner path 
#Banner/some/path 


VerifyReverseMapping no 


#override default of no subsystems 
Subsystem sftp /usr/libexec/openssh/sftp-server 
#/etc/ssh/sshd_config 文 件 到 此 结束 


5. SSH 实现 telnet 
最 容易 受到 监听 工具 威胁 的 程序 之 一 是 telnet， 一 个 sniffer 程序 可 以 轻易 地 得 到 你 的 


登录 名 和 密码 。 解 决 的 方法 就 是 用 SSH 替代 telnet。 从 使 用 上 讲 ，SSH 和 telnet 没有 不 同 
之 处 ,但 是 SSH 将 传输 中 的 所 有 信息 加 密 ， 确 保 了 传输 信息 不 被 窃听 。 


下 面 是 第 一 次 登录 的 情况 : 


[wlye cs cs] $ssh localhost 

The authenticity of host'localhost (127.0.0.1) 'can't be established. 
RSA key fingerprint is 4b:91:0a:85:7a:ab:f6:1a:f5:51:07:33:4d:ba:ec:e3. 
Are you sure you want to continue connecting (yes/no) ?yes 
Warning:Permanently added'localhost' (RSA) to the list of known hosts. 
wly @localhost's password: 

Last login:Wed Oct 2 06:53:42 2002 from 202.206.196.221 

[wily@ cs cs] $ 


以 后 的 登录 情况 中 : 


[wly@ cs cs] $ssh localhost 

wly@ localhost's password: 

Last login:Wed Oct 2 09:43:16 2002 from cs 
[wly@ cs wly] $ 


6. SSH 实现 FTP 


与 telnet 类 似 , FTP 也 非常 容易 受到 sniffer 程序 的 威胁 , 与 SSH 可 以 替代 telnet 相似 ， 
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sshd 提供 sftp 服务 来 加 密 传输 信息 ， 保 护 信息 安全 。sftp 程序 可 以 完全 替代 FTP 的 功能 ， 
用 法 也 与 之 类 似 。 
例如 第 一 次 使 用 会 话 : 


[wly@ cs cs] $sftp 202.206.196.220 

Connecting to 202.206.196.220… 

The authenticity of host'202.206.196.220 (202.206.196.220) 'can't be estab- 
lished. 

RSA key fingerprint is 4b:91:0a:85:7a:ab:f6:1a:f5:51:07:33:4d:ba:ec:e3. 

Are you sure you want to continue connecting (yes/no) ?yes 

Warning:Permanently added'202.206.196.220' (RSA) to the list of known hosts. 

wly@ 202.206.196.220's password: 


sftp>help 

Available commands: 

cd path Change remote directory to'path' 
lcd path Change local directory to'path' 


chgrp grp path Change group of file'path'to'grp' 
chown own path Change owner of file'path'to'own' 
help Display this help text 

get remote-path [local-path] Download file 


以 后 的 会 话 : 


[wly@ cs cs] $sftp 202.206.196.220 
Connecting to 202.206.196.220… 
wly@ 202.206.196.220's password: 
sftp> 


7. 用 SSH 设置 “加 密 通 道 ” 


通过 “端口 转发 ”可 以 实现 SSH 的 本 地 未 用 端口 与 远程 服务 器 上 运行 的 某 个 服务 端口 
间 的 “加 密 通 道 "。 当 远程 服务 器 运行 SSH 服务 器 软件 时 ， 只 要 连接 到 本 地 端口 ， 所 有 对 
本 地 端口 的 请 求 都 被 SSH 加 密 并 且 转 发 到 远程 服务 器 端口 。 

1) 检查 远程 服务 器 是 否 运行 SSH 服务 


[wlye cs cs] $telnet 202.206.196.221 22 
Trying 202.206.196.221… 
telnet :connect to address 202.206.196.221:Connection refused [wlye cs cs] $ 


如 果 出 现下 面 的 画面 ， 则 说 明 运 行 SSH 服务 。 


[wlye cs cs] $telnet cs22 
Trying 127.0.0。1… 
Connected to cs . 

Escape character is'^] '. 
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端口 转发 使 用 的 语法 : 


ssh -f [username@remote host] -L [localport] [full name of remote host] : 
[remote port] [some command] 


。-f: 用 于 告诉 SSH 在 后 台 的 登录 ， 而 不 产生 提示 信息 。 
username: 用 户 名 。 
。 some command: 用 于 让 SSH 执行 连接 前 首先 执行 一 些 命令 。 例 如 ssh -L 8888 
202.112.26.39:23 把 本 机 的 8888 端口 接收 到 的 信息 转发 给 202.112.26.39 的 23 端口 。 
可 以 在 一 /.ssh/config 文件 中 用 LocalForward 设置 经 常 使 用 的 一 些 转 发 端口 。 
2) POP 的 “加 密 通道 ” 
为 POP 加 上 “加 密 通 道 ” 同 样 可 以 防止 其 密码 被 sniffer 程序 窃取 。 另 外 ，SSH 的 压 
缩 方式 可 以 让 邮件 传输 得 更 快 。 


ssh -f -C username@ address -L portnumber address:110 sleep 5 

3) X 的 “加 密 通 道 ” 

SSH 还 可 以 对 X 数据 传输 进行 加 密 ， 若 要 在 本 机 运行 远程 SSH 服务 器 上 的 X 程序 ， 
需 在 远程 计算 机 上 创建 一 个 一 /ssh/environment 文件 并 添加 一 行 : 


XAUTHORITY=/home/ [remote user name] /.Xauthority 


注意 : 若 用 户主 目录 下 不 存在 .Xauthority， 则 SSH 登录 时 自动 创建 。 
例 : 启动 一 个 X 程 序 (xterm)。 


ssh -f -X -1 [remote user name] [remote machine] xterm 

[wlye cs.ssh] $ssh -f -X -1 wly cs xterm 

The authenticity of host'cs (127.0.0.1) 'can't be established. 

RSA key fingerprint is4b:91:0a:85:7a:ab:f6:1a:f5:51:07:33:4d:ba:ec:e3. 
Are you sure you want to continue connecting (yes/no) ?yes 
Warning:Permanently added'cs' (RSA) to the list of known hosts. 

wly@ cs's password: 


若非 首次 使 用 会 话 ， 则 提示 信息 为 : 

[wiye@ cs.ssh] $ssh -f -X -1 wly cs xterm 
wly@ cs's password: 

4) Linuxconf 的 “加 密 通道 ” 
Linuxconf 是 支持 远程 管理 的 Linux 配置 工具 。 
使 用 方式 : 


remadmin --exec ssh -1 [account] linuxconf --guiproto 


5) Webmin 的 “加 密 通 道 ” 
Webmin 是 一 个 新 的 基于 浏览 器 的 配置 工具 。 运 行 在 1000 端口 。 加 密 方式 为 : 
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ssh -f -1 [remote user name] [remote host] -L1localport: [remote host] :10000 
tail -f/etc/motd 


5.4.2 ”SSL 实践 


下 一 个 任务 是 用 SSL(https) 替 换 标准 的 HTTP 服务 ,现在 很 多 的 Linux 发 行 版 本 已 经 包 
含 了 apache 2.0, 这 个 版 本 内 置 了 SSL 模块 。 不 过 ,由 于 很 多 系统 仍然 在 使 用 apache 1.3.x， 
因此 ， 仍 然 可 能 需要 自己 下 载 和 编译 apachet+mod_ssl。 


1. 需要 的 软件 


1) Apache Web Server 

下 载 地 址 : http://www.apache.org/dist/ 

或 者 从 镜像 站 点 下 载 : http://www.apache.org/dyn/closer.cgi 
2) mod_ssl 

下 载 地 址 : http://www.modssl.org 
3) Open SSL 

下 载 地 址 : http://www.openssl.org 


2. 安装 
1) 取得 并 展开 软件 


$lynx http://httpd.apache.org/dist/httpd/apache 1.3.26.tar.gz 
$lynx ftp://ftp.modssl.org/source/mod ssl-2.8.10-1.3.26.tar.gz 
$lynx ftp://ftp.openssl.org/source/openssl-0.9.6d.tar.gz 

$gzip -d -c apache 1.3.26.t ar.gz|ltar xvf- 

$gzip -d -c mod ssl-2.8.10-1.3.26.tar.gz|tar xvf- 

$gzip -d -c openssl-0.9.6d.tar.gz|tar xvf- 


2) 编译 OpenSSL 


$cd openss1-0.9.6d 
$./config 

$make 

$cd.. 


3) 编译 安装 SSL-aware Apache 


$cd mod ssl-2.8.10-1.3.26 
$./configure\ 
--with-apache=../apache 1.3.26\ 
--with-ssl=../openssl-0.9.6d\ 
--prefix=/usr/local/apache 
$cd.. 
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$cd apache 1.3.26 
Smake 

$make certificate 
Smake install 


4) 清理 


$rm -rf apache 1.3.26 
Srm -rf mod ssl-2.8.10-1.3.26 
$rm -rf openss1-0.9.6d 


5) 测试 SSL-aware Apache 
用 步骤 3) 中 在 make certificate 填写 的 完全 认证 域名 (FQDN) 替代 local-host-name 。 


$/usr/local/apache/bin/httpd-DSSL 
$netscape https://local-host-name/ 


6) 启动 与 停止 apache 


$/usr/local/apache/bin/apachectl] startssl 
$/usr/local/apache/bin/apachectl] stop 


由 于 redhat 8.0 发 行 套件 自 带 SSL， 所 以 不 必 重 新 编译 即 可 获得 SSL 支持 。apachectl 
在 /usr/sbin 下 ，httpd.conf 在 /etc/httpd/conf/ 下。 
7) 测试 


[wlye cs sbin] #. /apachect1 startssl 
[wlye cs sbin] # 

[wlye cs sbin] #. /apachect1 stop 

[wiy@ cs sbin] # 

[wlye cs sbin] #1ynx https://localhost 


3. 配置 


要 使 SSL 生效 ， 需 要 通过 编辑 修改 /usrlocal/apache/etc/httpd.conf 文件 来 完成 ， 这 可 以 
在 httpd.conf 中 添加 如 下 的 语句 : 
# 建 立 只 使 用 SSLv2 协 议和 密码 的 SSL 服 务 器 


SSLProtocol -all+SSLv2 
SSLCipherSuite SSLV2 :+HIGH:+MEDIUM:+LOW:+EXP 


# 下 面 仅仅 授权 最 强 的 7 位 密码 
SSLProtocol all 
SSLCipherSuite HIGH:MEDIUM 


SSLCipherSuite ALL:!RADH:RC4+RSRA:+HIGH:+MEDIUM:+LOW:+SSLV2:+EXP:+eNULL 
<Directory/usr/local/apache/htdocs> 


# 通过 SGC 工 具 更 新 ， 最 终 拒 绝 所 有 未 更 新 的 浏览 器 
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SSLRequires {SSL CIPHER USEKEYSIZE} >=128 
</Directory> 


# 除 https://hostname/strong/area/ 及 其 下 属 需要 强壮 的 密码 外 ， 普 遍 不 限 
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH: +MEDIUM: +LOW:+SSLv2:+EXP:+eNULL 
<Location/strong/area> 

SSLCipherSuiteHIGH:MEDIUM 

</Location> 


# 要 求 我 们 的 CA 认证 直接 签名 的 客户 端 证 书 


SSLVerifyClient require 
SSLVerifyDepth1l 
SSLCACertificateFile conf/ssl.crt/ca.crt 


# 区 别 对 待 不 同 的 客户 端 ， 假 定 有 两 个 不 同 子 网 ， 
# 一 个 的 网 络 地 址 为 192.160.1.0/24， 另 一 个 subarea 的 URI 为 /subarea 


SSLVerifyClient none 
<Directory/usr/local/apache/htdocs/secure/area> 
SSLVerifyClient require 
SSLVerifyDepth 3 


SSLCACertificateFile conf/ssl.crt/ca.crt 
SSLCACertificatePath conf/ssl.crt 


SSLOPtions +FakeBasicAuth 

SSLRequireSSL 

RuthName "Snake Oil Authentication" 
AuthType Basic 

AuthUserFile /usr/local/apache/conf/httpd.passwd 
require valid-user 

</Directory> 


SSLCACertificateFileconf/ssl.crt/company-ca.crt 


<Directory/usr/local/apache/htdocs> 
# subarea 外 部 只 许可 Intranet 访 问 


Order deny, allow 

Deny fromall 

Allow from192.168.1.0/24 
</Directory> 


<Directory/usr/local/apache/htdocs/subarea> 

# subarea 内 部 许可 任何 Intranet 访 问 ， 但 是 来 自 因 特 网 的 只 能 是 
# HTTPS+Strong-Cipher+Password 

# 或 者 HTTPS+Strong-Cipher+Client-Certificate 


# 若 使 用 HTTPS， 确信 使 用 了 强壮 的 密码 
# 添加 真实 客户 蔡 代 首要 认证 机 构 


SSLVerifyClient optional 

SSLVerifyDepth 1 

SSLOPtions +FakeBasicAuth+StrictRequire 
SSLRequire % {SSL CIPHER USEKEYSIZE} >=128 


# 强迫 来 自 Internet 的 客户 使 用 HTTPS 
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RewriteEngine on 
RewriteCond % {REMOTE ADDR} !^192\.168\.1\. [0-9] +$ 
RewriteCond % {HTTPS} !=on 
RewriteRule .*#- [F] 

# 许可 网 络 访问 和 /或 首要 认证 机 构 

Satisfy any 

# 网 络 访问 控制 

Order deny, allow 
Deny from all 
Allow 192.168.1.0/24 

# HTTP 首 要 认证 机 构 

AuthType basic 

AuthName "Protected Intranet Area" 


AuthUserFile conf/protected.passwd 
Require valid-user 
</Directory> 


5.4.3 构造 chroot 的 DNS 


在 前 面 理 论 篇 的 存储 空间 部 分 ， 介 绍 了 chroot， 我 们 知道 ，DNS 的 bind 服务 程序 很 容 
易 被 溢出 并 且 导致 致命 的 漏洞 。 解 决 方法 一 方面 是 注意 更 新 和 升级 bind 服务 器 程序 ， 另 一 
方面 就 是 要 设置 bind， 使 在 被 溢出 的 情况 下 也 不 会 导致 攻击 者 获得 shell。 后 一 种 方法 可 以 
用 Lids 来 实现 ， 也 可 以 通过 chroot 做 到 。 这 里 就 谈 谈 如 何 利用 chroot-bind 构建 DNS 服务 
器 ， 进 一 步 加 强 bind 的 安全 性 。 


1. 安装 


1) 安装 bind 
从 http://wwwisc.org 下 载 bind 源 代码 后 进行 编译 安装 。 


cd/tmp 

tar xvfz bind-9*.tar.gz 
cd bind-9* 

./configure 

make 

make install 


2) 准备 chroot 环境 
首先 要 以 root 身份 创建 下 面 的 目录 结构 。 


/chnamed 
+ --dev 
==0t 人 te 


1+ --named 
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+ -—Var 
+ --run 


然后 需要 在 chroot 目录 里 面 建立 标准 的 /dev/null 设备 。 


# mknod/chnamed/dev/null c13 
#cp -a/etc/localtime/chnamed/etc 


最 后 要 修改 /etc/re.d/init.d/syslog 中 的 start 部 分 ， 改 daemon 为 下 面 的 行 : 


daemon syslogd$SYSLOGD OPTIONS -a\/chnamed/dev/log 
/etc/rc.d/init.d/syslog restart 


2. 配置 


1) 配置 mde 
rndc 是 bind 的 管理 程序 ， 用 来 启动 /停止 和 重新 装 入 配置 文件 。 下 面 的 命令 把 密 钥 串 
放 入 生成 的 mdc.conf 和 named.conf 文件 中 。 


# /usr/local/sbin/dnssec-keygen -ahmac-md5 -bl128 -n user rndc 


[root@ cs etc] #cat rndc.conf 
options { 
default-server localhost; 
default-key"rndckey"; 
}; 
server localhost { 
key"rndckey"; 
}; 
key"rndckey" { 
algorithm hmac-md5; 
secret 
"ASzhbwYZHSdiZMOCKsZONEEPzySwSivMeecSwikNVKLJBsDHBTgBcqNiWmjC"; 
}; 


[root@ cs etc] # cat rndc.key 
key"rndckey" { 

algorithm hmac-md5; 

secret 
"ASzhbwYZHSdiZMOCKsZONEEPzySwSivMeecSwikNVKLJBsDHBTgBcqNiWmjC"; 
}; 


2) 配置 named.conf 
下 面 是 一 个 样 例 ， 其 中 假设 内 部 网 络 使 用 192.168.0.0/24。 
aclournets {127.0.0.1;192.168.0.0/24} ; 


options { 
directory"/etc/named"; 
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pid-file"/var/run/named.pid"; 
statistics-file"/var/run/named.stats"; 
allow-recursion {ournets;}; 

}; 
controls { 
inet 127.0.0.1 allow {localhost;} keys {rndc key;}; 


}; 
好 

zone" ."IN { 
type hint; 
file"named.ca"; 
}; 


zone"localhost"IN { 
type master; 
file"localhost .zone"; 
allow-update {none;}; 
}; 
zone"0.0.127.in-addr .arpa"IN { 
type master; 
file"named.1local"; 
allow-update {none;}; 
站 二 
zone"0.168.192.in-addr.arpa"IN { 
type master; 
file"192.168.0"; 
}; 


zone"ly.com" { 
type master; 
file"named.l1y"; 
}; 


include"/etc/rndc.key"; 


3) 准备 启动 named 
将 named.conf 复制 成 /chnamed/etc/named.conf， 其 他 数据 文件 复制 到 /chnamed/ 
etc/named/, 运行 命令 /usr/sbin/ntsysv, 禁止 自动 启动 named, 将 如 下 命令 加 入 /etc/rc.d/rc.local。 


/usr/local/sbin/named -u named -t/chnamed -c/etc/named.conf 
4) 目录 属性 与 用 户 权限 设置 


#chown named:named/chnamed/var/run 
#chown named:named/chnamed 
#chmod 700/chnamed 


3. named 启动 与 管理 


#/usr/local/sbin/named -u named -t/chnamed -c/etc/named.conf 
# 启 动 named 
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#/usr/local/sbin/rndc -slocalhostreload 
#/usr/local/sbin/rndc -slocalhoststop 
#/usr/local/sbin/rndc -slocalhoststats 
#ps ax 和 /usr/sbin/tcpdumpport53 -n 


5.4.4 ”代理 服务 器 socks 
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# 重 装配 置 文件 

# 停 止 named 后 台 

# 将 localhost 的 统计 信息 写 入 文件 
# 检 查 named 是 否 处 于 服务 状态 


socks 代理 也 是 一 种 处 理 安全 性 和 灵活 性 之 间 平 衡 的 重要 手段 。 许多 情况 下 , 需要 在 防 
火 墙 上 钻 一 个 洞 出 来 而 不 危及 整个 安全 策略 ， 这 时 候 就 需要 代理 服务 器 的 支持 ， 而 socks 
就 是 一 种 比较 常用 的 代理 技术 。 目 前 socks 有 两 个 版 本 ， 这 里 简单 介绍 一 下 socks5。 


1. socks5 的 安装 
1) 软件 获取 


下 载 地 址 : www.socks.nec.com/cgi-bin/download.pl 


2) 编译 安装 
编译 安装 以 目前 最 新 版 socks5 v1.0 release 11-UNIX Source 为 例 。 


#tar xvzf socks5-v1.0rll.tar.gz 
#cdsocks5-v1.0r11 
#./configure 


#make 


#make install 


2. socks5 的 配置 


socks5.conf。 该 配置 文件 的 内 容 构成 如 表 5-23 所 示 。 
表 5-23 socks5.conf 文件 的 内 容 构成 表 


名 称 


语 法 


主要 配置 文件 是 socks5.conf, 该 文件 路 径 可 在 编译 socks5 时 自行 指定 ,默认 路 径 为 /etc/ 


说 了 明 


access control 


authentication 


permit auth cmd src-host dest-host src-port 
dest-port [user-list] deny auth cmd src-host 
dest-host src-port dest-port [user-list] 


auth source-host source-port auth-methods 


进行 客户 访问 控制 


对 来 自 source-host: source-port 的 客户 
连接 使 用 auth-methods 定义 的 用 户 认 
证 方法 ， 对 未 定义 认证 方法 的 客户 使 
用 任何 可 用 的 认证 方法 


拒绝 来 自 source-host: source-port 的 客 


ban host ban source-host source-port 户 连接 
interface hostpattern portpattern interface- addr- | 由 interface-address 处 理 来 自 sour- 
CR ess ce-host: source-port 的 客户 连接 
当 客 户 目的 请 求 为 dest-host: dest-port 
proxies Pproxy-type dest-host dest-port proxy-list 时 ， 使 用 proxy-list 中 的 代理 服务 器 请 
求 数据 
variables set variable value 定义 socks5 运行 参数 


192 


计算 机 网 络 安全 管理 第 2 版 ) 


3. 配置 示例 
假定 架设 一 个 有 50 台 计 算 机 和 一 个 有 32 个 (5 位) IP 地 址 ， 有 多 重 访 问 等 级 的 子 网 。 


这 些 等 级 按照 从 低 到 高 分 别 为 D2、bl、b0。 


1) 网 络 设计 

192.168.2.255 用 作 广播 ; 

32 个 了 下位 址 挪 出 23 个 ， 提 供给 进行 Internet 访问 的 机 器 ; 

一 个 人 P 给 Linux box; 

另 一 个 全 给 另 一 个 Linbux box; 

两 个 人 P 号 码 给 Router; 

4 个 Domain Names 设 为 paul、ringo、john 和 george， 用 来 掩 人 耳目 ; 

保留 地 址 为 192.168.2.xxx; 

建立 两 个 保护 的 分 离 的 子 网 ， 两 个 子 网 各 接 一 台 Linux box; 

一 个 文件 服务 器 用 不 同 的 网 卡 连接 两 个 保护 网 路 ， 关 闭 人 P forwarding， 对 bl 级 用 


192.168.2.17， 对 b0 级 用 192.168.2.23 。 


2) Proxy 的 架设 
b2 网 直接 连 Internet,bl 网 及 b0 网 已 在 防火 墙 内 ,所 以 b2 网 中 不 用 架设 Proxy Server， 


bl 网 和 b0 网 的 架设 十 分 相似 。 下 面 是 应 用 的 规则 。 


。 不 许 任何 人 用 文件 服务 器 进行 因特网 访问 。 

。 不 允许 bl 使 用 浏览 Web， 但 仍 开放 其 他 服务 。 

。 除 已 被 拒 者 之 外 ，192.168.2.xxx 均 可 以 使 用 该 Proxy Server〔 例 如 文件 服务 器 和 bl 
网 的 Web 访问 ) 。 

。 bl 网 Linux box 上 的 sockd.conf 设 定 如 下 。 

deny 192.168.2.17 255.255.255.255 


deny 0.0.0.0 0.0.0.0 eq 80 
permit 192.168.2.0 255.255.255.0 


。 b0 网 Linux box 上 的 sockd.conf 设 定 如 下 。 


deny 192.168.2.23 255.255.255.255 
permit 192.168.2.0 255.255.255.0 


5.4.5 ”邮件 服务 器 


Linux 下 常用 的 邮件 服务 器 主要 是 sendmail、Postfix 和 qmail。 这 里 选择 qmail。qmail 


是 一 种 可 以 完全 替代 Sendmail-binmail 体系 的 新 一 代 UNIX 邮件 系统 ， 较 之 其 他 邮件 服务 
器 软件 具有 安全 、 可 靠 、 高 效 和 简单 的 特点 ， 由 于 支持 Maildir， 保 证 了 系统 在 突然 崩溃 的 
情况 下 不 至 于 破坏 整个 信箱 。 


1. relay 管理 


qmail 中 有 一 个 决定 是 否 接收 某 个 邮件 的 配置 文件 rrpthosts。 只 有 当 接 收 者 地 址 的 域名 
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出 现在 rcpthosts 文件 时 ， 才 接收 该 邮件 ， 否 则 拒绝 。 若 该 文件 不 存在 ， 默 认 接收 所 有 的 邮 
件 。 显 然 ， 没 有 rcpthosts 的 qmail 服务 器 是 开放 转发 的 。 

设置 自己 的 服务 器 为 非 开放 转发 的 最 简单 办 法 ， 就 是 将 邮件 服务 器 的 所 有 域名 ( 若 
DNS 的 MX 记录 指向 该 机 器 ， 也 应 该 包括 该 机 器 的 其 他 域名 ) 放 入 rcpthosts。 不 过 ， 这 样 
就 拒绝 了 除了 本 地 机 器 之 外 的 任何 客户 机 使 用 你 的 服务 器 转发 邮件 ， 而 要 支持 客户 使 用 
MUA 来 发 送 邮件 ， 必 须 允 许 客户 使 用 服务 器 转发 邮件 。qmail-smtpd 支持 一 种 有 选择 性 的 
忽略 rcpthosts 文件 的 方法 : 若 qmail-smtpd 的 环境 变量 RELAYCLIENT 被 设置 ， 则 忽略 
rcpthosts 文件 ， 人 允许 relay。qmail 通过 判断 发 送 邮件 者 的 源 人 P 地 址 ， 来 确定 该 发 送 者 是 否 
为 自己 的 客户 。 这 里 用 到 的 是 tcpserver 程序 。 

tcpserver 的 配置 文件 是 /etc/tcp.smtp ， 该 文件 定义 了 是 否 对 某 个 网 络 设置 
RELAYCLIENT 环境 变量 。 例 如 ， 本 地 网 络 地 址 为 192.168.0.0/24， 若 连接 来 自 127.0.0.1 
和 192.168.0 则 允许 ， 且 为 其 设置 环境 变量 RELAYCLIENT; 否则 允许 其 他 连接 但 不 设置 
RELAYCLIENT 环境 变量 。 这 样 从 其 他 地 方 到 本 地 的 25 号 连接 将 被 允许 ， 但 由 于 未 设 环 
境 变量 ， 其 连接 被 qmail-smptd 所 拒绝 。tcp.smtp 的 内 容 应 设置 如 下 : 

127.0.0.1:allow, RELAYCLIENT=" 


192.168.0.:allow, RELAYCLIENT=" 
:allow 


但 是 tepserver 并 不 直接 使 用 /etc/tcp.smtp 文件 ， 而 是 先 要 将 该 文件 转化 为 cbd 文件 。 
[wlye cs/etc] $#tcprules tcp.smtp.cdbtcp.smtp.temp<tcp.smtp 


在 /service/qmail-smtpd 目录 下 的 run 文件 中 有 /usr/local/bin/tcpserver -v -p -x/etc/tcp. 
smtp.cdb。 可 以 看 到 ，tcpserver 利用 了 /etc/smtp.cbd 文件 。 若 本 地 有 多 个 网 络 ， 则 需要 这 些 
网 络 都 出 现在 /etc/tcp.smtp 文件 中 。 这 样 就 实现 了 允许 本 地 客户 relay 邮件 ， 而 防止 relay 
被 滥用 。 


2. 带 smtp 身份 认证 的 qmail 


smtp 身份 认证 就 是 让 用 户 在 发 送 邮 件 之 前 首先 提供 用 户 名 和 密码 。 为 了 使 qmail 支持 
身份 认证 ， 需 要 几 个 附加 软件 包 ， 连 同 标准 的 qmail 程序 包 ， 需 要 下 载 以 下 几 个 程序 包 : 


checkpassword-0.90.tar.gz 或 qmail-smtpd.c 
cmd5checkpw-0.22.tar.gz 
Ucspi-teop-0.88.tarsgz 

qmail-1.03.tar.gz 
vpopmail-4.9.10.tar.gz 


1) 下 载 后 进行 安装 
tar zxvfcheckpassword-0.90.tar.gz 
cd checkpassword-0.90 


make 
make setup check 
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tar zxvf cmd5checkpw-0.22.tar.gz 
mkdir/usr/man 
mkdir/usr/man/man8 

cd cmd5checkpw-0.22 

make 

make install 


tar ZXVf ucspi-tcp-0.88.tar.gz 
cd ucspi-tcp-0.88 

make 

make setup check 


cp qmail-smtpd.c qmail-1.03/ 
2) 添加 用 户 


mkdir/var/qmail 

groupaddnofiles 

useradd -g nofiles -d /var/qmail/alias alias 
useradd -g nofiles -d /var/qmail qmaild 
useradd -g nofiles -d /var/qmail qmaill 
useradd -g nofiles -d /var/qmail qmailp 
groupadd qmail 

useradd -g qmail -d /var/ qmail qmailq 
useradd -g qmail -d /var/ qmail qmailr 
useradd -g qmail -d /var/ qmail qmails 


3) 进行 qmail 的 基本 配置 ， 首 先 要 用 自动 配置 程序 进行 基本 的 操作 


cd qmail-1.03 

make setup check 

./config-fast cs.ly.com 

cd 一 alias 
touch.aqmail-postmaster.qmail-mailer-daemon.qmail-root 
chmod644~alias/.qmail* 

echo"127.0.0.1:allow, RELAYCLIENT=""">/etc/tcp.smtp 


#checkpassword 程 序 需 要 访问 /etc/shadow， 所 以 需要 setuid 
chmod 4755/bin/checkpassword 


cp/var/qmail/boot/home/var/qmail/rc 


修改 /var/qmail/re， 把 ./Mailbox 改 成 ./Maildir/， 使 用 Maildir。 
4) 启动 qmail 


csh -cf"/var/qmail/rc &" 


5) 启动 smtp 服务 


tcpserver -H -R -1 0 -t 1 -c 100 -x /etc/tcp.smtp.cdb -u 507 -g 502 0 smtp 
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/var/qmail/bin/qmail-smtpd/bin/check password/bin/true/bin/md5checkpw/ 
bin/true & 


注意 : 使 用 checkpassword 验证 ，-u 507 -g 502 指 的 是 qmail 和 nofiles 的 。 
这 样 基于 系统 用 户 的 smtp 验证 就 完成 了 。 
3. 基于 vpopmail 的 实现 


若 在 qmail 系统 中 使 用 vpopmail， 可 利用 vpopmail 针对 漫游 用 户 的 配置 选项 来 防止 邮 
件 系统 的 relay 功能 被 滥用 。 其 支持 漫游 用 户 的 原理 是 : 当 漫 游 用户 通 过 POP3 取信 后 的 某 
段 时 间 内 允许 该 地 址 通过 邮件 服务 器 转发 信件 ， 而 经 过 一 段 时 间 不 活动 之 后 ， 这 个 relay 
功能 就 被 禁止 了 。 

1) 使 用 vpopmail 


// 建 立 vpopmail 的 用 户 和 组 

groupaddvchkpw 

useradd -g vchkpw -d /vmail vpopmail 

// 切 换 到 vpopmail 用 户 

su vpopmail 

// 建 立 用 户 子 目录 

mkdir ~vpopmail/etc 

// 建 立 访问 控制 文件 

echo"127.0.01.:allow, RELAYCLIENT=""">~vpopmail/etc/tcp.smtp 
// 编 译 安装 

./configure --enable-default-domain=cs.ly.com --enable-roaming-users=y 
make 

make install-strip 

// 改 变 当 前 目录 

cd ~vpopmail/bin 

// 添 加 域 用 用 户 

./vadddomaincs.1ly.com 

./vadduseryyy@ cs.ly.com 

// 更 改 文件 属性 

chmod 6755 /vmail/bin/vchkpw 


2) 启动 smtp 服务 


/var/qmail/bin/qmail-smtpd/vmail/bin/vchkpw/bin/true/bin/md5checkpw/bin 
/true & 


3) 启动 POP3 服务 


tcpserver -H -R Opop-3/var/qmail/bin/qmail-popup cs.ly.com/vmail/bin/vchkpw 
/var/qmail/bin/qmail-pop3dMaildir & 


及 表示 后 台 执行 。 


注意 : 使 用 mysql 等 其 他 模块 验证 时 不 影响 。 


在 目前 的 网 络 体系 中 ， 路 由 器 是 多 种 网 络 互联 的 重要 设备 ， 因 为 路 由 器 一 般 位 于 防火 
墙 之 外 ， 是 边界 网 络 的 前 沿 ， 所 以 路 由 器 的 安全 管理 成 为 了 第 一 道 防线 。 在 默认 情况 下 ， 
路 由 器 访问 密码 存储 在 固定 位 置 ,用 第 一 章 讲 到 的 sniffer 嗅 探 器 很 容易 获得 登录 名 和 密码 ， 
从 而 使 路 由 器 完全 受到 攻击 者 控制 ， 从 而 入 侵 整个 路 由 器 管理 的 网 络 。 目 前 的 路 由 器 种 类 
繁多 ， 优 质 的 路 由 器 都 有 自己 丰富 的 安全 机 制 ， 一 般 都 内 置 了 入 侵 检 测 系统 ， 但 还 需要 网 
络 管理 员 配置 相应 的 安全 策略 及 进行 相应 的 管理 。 在 这 一 章 中 ， 针 对 路 由 器 使 用 最 多 的 
AAA (验证 、 授 权 和 审计 )、 访 问 控制 技术 、 数 据 加密 和 防伪 和 数据 加 密 技 术 (VPN 技术 ) 
进行 系统 介绍 ， 使 管理 员 有 章 可 循 ， 路 由 器 平台 很 多 ， 国 内 应 用 最 多 的 主要 有 思科 公司 的 
IOS 平台 和 华为 公司 的 VRP 平台 两 大 阵营 ， 本 章 以 华为 的 VRP 的 安全 配置 命令 为 例 进 行 
介绍 。 


6.1 路 由 器 安全 概述 


路 由 器 相关 安全 特性 具有 两 层 含义 : 保证 内 部 局 域 网 的 安全 〈 不 被 非法 侵入 ) 和 保护 
外 部 进行 数据 交换 的 安全 。 路 由 器 安全 关注 的 范围 包括 保护 网 络 物理 线路 不 会 轻易 遭受 攻 
击 、 有 效 识 别 合 法 的 用 户 和 非法 的 用 户 、 实 现 有 效 的 访问 控制 、 保 证 内 部 网 络 的 隐蔽 性 、 
有 效 的 防伪 手段 、 重 要 的 数据 重点 保护 、 对 网 络 设备 、 网 络 拓扑 的 安全 管理 ， 对 病毒 提高 
安全 防范 意识 。 在 开放 式 的 网 络 环境 中 ， 每 个 网 络 都 是 一 种 对 等 关系 ， 相 互 之 问 可 以 直接 
访问 。 为 了 增强 网 络 的 安全 性 ， 需 要 将 这 种 对 等 界定 在 一 定 的 范围 之 内 。 将 一 个 网 络 划分 
为 多 个 部 分 ， 在 同一 个 网 络 中 的 某 些 主机 可 以 认为 是 “互相 信任 的 ”， 而 和 其 他 的 主机 处 
于 一 种 “不 信任 关系 ”， 使 开放 的 环境 处 于 一 种 受 控 的 状态 。 同 时 信息 加 密 也 是 保证 数据 
安全 的 一 种 十 分 重要 的 手段 。 产 生 网 络 安全 事故 的 很 多 原因 是 人 为 因素 ， 例 如 安全 意识 淡 
漠 、 有 意 利 用 自己 的 某 些 特权 等 。 因 此 保护 网 络 的 安全 除了 要 进行 技术 上 的 更 新 之 外 ， 同 
时 还 需要 对 员工 进行 必要 的 安全 意识 教育 。 

针对 网 络 存在 的 各 种 安全 隐患 ， 路 由 器 必须 具有 的 安全 特性 包括 身份 认证 、 访 问 控制 、 
信息 隐藏 、 数 据 加 密 和 防伪 、 安 全 管理 、 可 靠 性 和 线路 安全 。 可 靠 性 要 求 主要 针对 故障 恢 
复 、 负 载 能 力 和 主 设 备 运行 故障 时 ,备份 自动 接替 工作 。 负载 分 担 主要 指 网 络 流量 增 大 时 ， 


备份 链 路 承担 部 分 主 用 链 路 的 工作 ， 线 路 安全 指 的 是 线路 本 身 的 安全 性 ， 用 于 防止 非法 用 
户 利用 线路 进行 访问 。 网 络 安全 身份 认证 包括 访问 路 由 器 时 的 身份 认证 、Console 登录 配 
置 、Telnet 登录 配置 、SNMP 登录 配置 、Modem 远程 配置 、 对 其 他 路 由 的 身份 认证 、 直 
接 相 连 的 邻居 路 由 器 配置 、 滥 辑 连 接 的 对 等 体 配 置 、 路 由 信息 的 身份 认证 、 防 伪造 路 由 信 
息 的 侵入 安全 特性 。 
身份 认证 是 网 络 安全 中 解决 的 一 个 重要 的 问题 ， 主 要 保证 只 有 合法 的 用 户 和 经 过 授权 
的 用 户 才 可 以 访问 、 控 制 路 由 器 。 如 需要 配置 路 由 器 时 ， 需 要 验证 用 户 名 和 密码 。 同 时 还 
需要 保证 和 其 他 网 络 设备 的 信息 交互 具有 合法 的 身份 认证 ， 如 防伪 造 路 由 信息 的 侵入 等 。 
因此 在 一 些 需要 路 由 器 重要 信息 的 场合 ， 都 需要 进行 身份 验证 ， 来 保证 信息 来 源 的 可 靠 。 
路 由 器 安全 技术 包括 AAA _ (Authentication、Authorization 和 Accounting)， 它 是 验证 、 授 
权 和 记 账 的 简称 。 网 络 安全 服务 提供 一 个 实现 身份 认证 的 框架 来 提供 验证 、 授 权 、 记 账 服 
务 ， 使 用 RADIUS 等 协议 实现 对 网 络 的 访问 控制 。AAA 技术 可 以 提供 基于 用 户 的 验证 、 
授权 、 记 账 服务 。 基 于 用 户 的 含义 是 ，AAA 技术 不 是 根据 耳 地 址 等 信息 来 验证 用 户 ， 而 
是 根据 用 户 名 、 口 令 对 用 户 进行 验证 。AAA 技术 主要 使 用 在 拨号 接 入 访问 上 ,用户 利用 电 
话 拨号 入 网 就 是 依靠 AAA 技术 来 实现 验证 、 授 权 和 计 费 的 。 因 此 在 接 入 服务 中 ，AAA 是 
一 个 最 有 效 实用 的 安全 手段 。RADIUS 采用 客户 机 /服务 器 (Client/Server) 结构 。 验 证 、 
授权 时 客户 端的 任务 是 将 用 户 〈User) 的 信息 发 送 到 指定 的 服务 器 ， 然 后 根据 服务 器 的 不 
同 的 响应 进行 相应 处 理 。RADIUS 服务 器 的 任务 是 接收 客户 端 发 来 的 用 户 连接 请 求 ， 然 后 
验证 用 户 并 返回 客户 端 提 供 服务 所 需要 的 配置 信息 。RADIUS 服务 器 的 数据 库 中 集中 存放 
了 相关 的 安全 信息 ， 避 人 免 安 全 信息 凌乱 散布 带 来 的 不 安全 性 ， 同 时 更 可 靠 且 易于 管理 。 实 
现 计 费 时 ， 客 户 端 将 用 户 的 上 网 时 长 、 进 出 字 节 数 、 进 出 包 数 等 原始 数据 送 到 RADIUS 服 
务 器 上 ， 以 供 RADIUS 服务 器 计 费 时 使 用 。 

访问 控制 实现 如 下 功能 : 对 网 络 设备 的 访问 控制 ， 分 级 保护 不 同 级 别 的 用 户 拥 有 不 同 
的 操作 权限 ， 基 于 五 元 组 ( 指 亿 包头 中 的 源 人 P 地 址 、 目 的 亿 地 址 、 协 议 号 、 源 端口 和 卓 
的 端 ) 的 访问 控制 ， 根 据 数据 包 信息 进行 数据 分 类 ， 不 同 的 数据 流 采 用 不 同 的 策略 ， 基 于 
用 户 的 访问 控制 ， 对 于 接 入 服务 用 户 ， 设 定 特定 的 过 滤 ， 访 问 控制 是 路 由 器 提供 的 一 种 重 
要 的 安全 策略 ， 访 问 控制 可 以 有 效 地 防止 一 些 非法 的 访问 。 包 过 滤 技 术 是 指 提供 访问 控制 
的 基本 框架 , 来 提供 基于 IP 地 址 等 信息 的 包 过 滤 、 提 供 基于 接口 的 包 过 滤 和 提供 基于 时 间 
段 的 包 过 滤 ， 包 过 滤 技 术 是 利用 访问 控制 列表 实现 的 一 种 防火 墙 技术 。 包 过 滤 技 术 是 最 常 
用 的 访问 控制 手段 , 包 过 滤 技 术 最 显著 的 特点 是 利用 人 P 数据 包 的 特征 进行 访问 控制 , 不 像 
AAA 技术 那样 是 根据 用 户 名 、 密 码 进 行 访问 控制 ,因此 包 过 滤 技 术 不 能 使 用 于 接 入 服务 中 ， 
它 适用 于 用 户 根据 IP 地 址 、 端 口 等 定义 合适 的 规则 ， 阻 止 对 网 络 直接 的 非法 访问 。 利 用 包 
过 滤 技术 可 以 阻挡 “不 信任 网 络 ” 的 访问 。 例 如 ， 某 个 内 部 局 域 网 接 入 了 Intemet， 这 个 局 
域 网 只 信任 它 的 一 个 分 公司 的 网 络 和 某 些 重要 客户 的 网 络 。 在 Intemet 上 ， 每 个 公司 的 IP 
地 址 是 不 会 经 常 改变 的 ， 因 此 利用 包 过 滤 技 术 ， 就 可 以 限制 除了 分 公司 、 重 要 客户 以 外 的 
其 他 的 网 络 对 内 部 局 域 网 的 访问 。 

信息 隐藏 实现 功能 包括 地 址 转换 以 隐藏 内 网 的 内 部 地 址 、 内 部 用 户 可 以 直接 发 起 建立 
连接 请 求 来 保护 内 部 局 域 网 访问 Intemet。 地 址 转换 技术 主要 使 用 在 内 部 局 域 网 对 公有 网 络 
的 访问 。 使 用 地 址 转换 技术 不 仅 可 以 使 用 许多 局 域 网 用 户 可 以 共享 一 个 IP 地 址 上 网 , 而 且 
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可 以 使 内 部 局 域 网 的 网 络 结构 、IP 地 址 等 信息 都 不 在 mternet 上 暴露 ， 增 强 了 内 部 局 域 网 
的 安全 特性 。 地 址 转换 技术 主要 使 用 在 一 个 局 域 网 公用 上 网 的 情况 。 地 址 转换 技术 同时 隐 
藏 了 内 部 局 域 网 的 真实 IP 地 址 和 网 络 拓扑 ， 转 换 内 部 局 域 网 为 外 部 的 一 个 IP 地 址 或 少量 
人 P 地 址 (地址 池 ), 使 Internet 上 的 其 他 网 络 不 知 内 部 局 域 网 的 真实 的 卫 地 址 和 网 络 拓扑 ， 
保护 了 内 部 局 域 网 的 安全 ， 同 时 又 不 影响 路 由 器 。 地 址 转换 能 够 将 网 内 用 户 发 出 报 文 的 源 
地 址 全 部 映射 成 一 个 接口 地 址 。 与 按 需 拨号 相 结合 ， 使 局 域 网 内 用 户 通 过 一 台 路 由 器 即 可 
轻松 上 网 。 

数据 加 密 和 防伪 技术 是 利用 公 网 传输 数据 不 可 避免 地 面临 数据 窃听 的 问题 ， 传 输 之 前 
进行 数据 加 密 ， 保 证 只 有 与 之 通信 的 接收 端 才能 够 解密 数据 ， 防 伪 报 文 在 传输 过 程 中 ， 被 
截获 、 修 改 ， 重 新 投放 到 网 络 时 ， 接 收 端 可 以 进行 数据 识别 、 丢 弃 被 修改 的 报 文 。 相 关 技 
术 包 括 : 数据 加 密 技术 、 数 字 签名 技术 、IPSec 协议 及 相关 技术 。 数 据 加 密 技术 主要 是 将 
需要 在 Internet 上 传递 的 数据 加 密 。 加 密 技术 包含 两 个 方面 : 普通 的 加 密 和 防伪 。 防 伪 技 
术 可 以 防止 报 文 被 不 法 分 子 截获 之 后 ， 将 报 文 修改 ， 然 后 重新 放 到 网 上 继续 传递 。 数 据 加 
密 防伪 是 保护 Intemet 上 数据 安全 的 一 个 重要 手段 , 利用 这 种 技术 可 以 在 mtemet 上 为 用 户 
提供 一 种 “安全 的 VPN” 服 务 ， 利 用 加 密 技 术 可 以 为 用 户 提供 一 种 安全 的 在 Internet 上 传 
递 数 据 的 手段 。 路 由 器 提供 的 IPSec 和 IKE 技术 ，IPSec (IP Security ) 可 以 实现 数据 的 加 
密 以 及 防伪 ， 可 以 使 在 不 安全 的 线路 上 传输 加 密 信 息 形成 “安全 的 隧道 ”可 以 为 用 户 在 
Internet 提供 安全 的 VPN 解决 方案 。IKE〈 密 钥 交 换 协 议 ) 为 通信 双方 提供 交换 密 钥 等 服 
务 ，IKE 定义 了 通信 双方 进行 身份 认证 、 协 商 加 密 算 法 以 及 生成 共享 的 会 话 密 钥 的 方法 。 
并 且 保 证 永远 不 在 不 安全 的 网 络 上 直接 传送 密 钥 ， 而 是 通过 一 系列 交换 信息 计算 密 钥 。 
IPSec 和 IKE 技术 的 结合 使 用 ， 有 效 地 提供 了 在 Intemet 网 络 上 进行 数据 加 密 、 数 据 防伪 的 
功能 。IPSec (IP Security) 是 一 组 开放 协议 的 总 称 ， 特 定 的 通信 方 之 间 在 IP 层 通过 加 密 与 
数据 源 验证 ， 以 保证 数据 包 在 ntemet 网 上 传输 时 的 私有 性 、 完 整 性 和 真实 性 。IPSec 通过 
AH (Authentication Header) 和 ESP (Encapsulating Security Payload) 这 两 个 安全 协议 来 
实现 。 此 实现 不 会 对 用 户 、 主 机 或 其 他 Internet 组 件 造成 影响 ， 用 户 还 可 以 选择 其 他 的 硬 
件 和 软件 加 密 算法 ， 而 不 会 影响 其 他 部 分 的 实现 。 

Intemet 密 钥 交 换 协 议 (IKE) 用 于 通信 双方 协商 和 建立 安全 联盟 ， 并 交换 密 铀 。IKE 
定义 了 通信 双方 进行 身份 认证 、 协 商 加 密 算 法 以 及 生成 共享 会 话 密 钥 的 方法 。IKE 的 精髓 
在 于 它 永 远 不 在 不 安全 的 网 络 上 直接 传送 密 钥 ， 而 是 通过 一 系列 数据 的 交换 ， 通 信 双 方 最 
终 计 算出 共享 的 密 钥 ， 并 且 即 使 第 三 方 截获 了 双方 用 于 计算 密 钥 的 所 有 交换 数据 ， 也 不 足 
以 计算 出 真正 的 密 钥 。 

虚拟 私有 网 (Virtual Private Network，VPN) 是 近年 来 随 着 Internet 的 发 展 而 迅速 发 展 
起 来 的 一 种 技术 。 现 代 企 业 越 来 越 多 地 利用 Internet 资源 来 进行 促销 、 销 售 、 售 后 服务 、 
培训 和 合作 等 活动 。 许 多 企业 趋向 于 利用 Internet 来 替代 他 们 的 私有 数据 网 络 。 相 对 于 企 
业 原 有 的 Intranet， 这 种 利用 Intemet 的 虚拟 链 路 来 传输 私有 信息 而 形成 的 逻辑 网 络 就 称 为 
虚拟 私有 网 。VPN 的 一 个 核心 技术 就 是 “隧道 技术 ”， 这 种 技术 的 主要 思想 是 将 一 种 类 型 
网 络 的 数据 包 通 过 另 一 种 类 型 网 络 进行 传输 。 二 层 隧道 是 建立 在 链 路 层 的 隧道 ， 三 层 隧道 
是 建立 在 网 络 层 的 隧道 。 

安全 管理 是 指 保证 重要 的 网 络 设备 处 于 安全 的 运行 环境 ， 防 止 人 为 破坏 、 保 护 访问 口 


令 、 密 码 等 重要 的 安全 信息 、 进 行 安全 策略 管理 ， 有 效 利用 安全 策略 ， 在 网 络 出 入 口 实现 
报 文 审计 和 过 滤 ， 提 供 网 络 运行 的 必要 信息 。 对 路 由 器 等 重要 网 络 设备 的 管理 是 保证 路 由 
器 安全 运行 的 一 个 重要 方面 ， 一 定 要 保证 没有 权限 的 用 户 不 能 随便 配置 路 由 器 ， 也 不 能 得 


到 路 


器 的 配置 信息 。 网 络 安全 同样 需要 保障 网 络 拓扑 信息 的 安全 。 安 全 接 入 Internet 包 


括 基 了 


FF 接口 的 包 过 滤 、 基 于 时 间 段 定义 过 滤 规 则 、 通 过 地 址 转换 访问 Internet、 外 部 不 能 直 


接 访问 内 部 网 络 ， 可 以 通过 地 址 转换 向 外 提供 WWW、FTP 等 服务 ， 避 免 内 部 服务 器 直接 
受到 攻击 ,日 志 主机 可 以 记录 网 络 运行 情况 便于 用 户 的 安全 分 析 与 管理 。 

通用 路 由 平台 (Versatile Router Platform，VRP) 是 华为 系列 路 由 平台 的 简称 ， 是 整个 
VRP 平台 的 核心 ， 它 实现 了 OSPF、BGP、IS-IS、RIP、EIGRP、PIM DM/SM 等 多 种 单 播 
和 多 播 路 由 协议 ， 支 持 路 由 迭代 、 路 由 策略 、 路 由 聚合 等 丰富 的 路 由 特性 ， 提 供 了 完整 的 
路 由 功能 。 但 路 由 器 必须 防范 来 自 公 网 上 的 恶意 攻击 。VRP 的 安全 特性 如 下 : 


基于 RADIUS (Remote Authentication Dial-In User Service) 的 AAA 服务 与 RADIUS 
服务 器 配合 实施 的 AAA 服务 ， 可 以 提供 对 接 入 用 户 的 验证 、 授 权 和 计 费 安全 服务 ， 
防止 非法 访问 。 

验证 协议 : 在 PPP 线路 上 支持 CHAP 和 PAP 验证 。 

包 过 滤 (Packet Filter): 用 访问 控制 列表 实现 ， 允 许 指 定 可 以 通过 (或 禁止 通过 ) 

路 由 器 的 报 文 类 型 。 

应 用 层 报 文 过 滤 ASPF (Application Specific Packet Filter): 也 称 为 状态 防火 墙 ， 是 
一 种 高 级 通信 过 滤 ， 它 检查 应 用 层 协议 信息 并 且 监 控 基 于 连接 的 应 用 层 协议 状态 ， 

维护 每 一 个 连接 的 状态 信息 ， 并 动态 地 决定 数据 包 是 否 被 允许 通过 防火 墙 或 者 被 
丢弃 。 

网 络 层 安全 (IP Security，IPSec): 特定 的 通信 方 之 间 在 IP 层 通 过 加 密 与 数据 源 验 
证 ， 来 保证 数据 包 在 Internet 上 传输 时 的 私有 性 、 完 整 性 和 真实 性 。 

事件 日 志 : 记录 系统 安全 方面 事件 ， 实 时 跟踪 非法 侵入 。 

地 址 转换 : NAT 网 关 将 公共 网 络 和 企业 内 部 网 分 隔离 开 来 ， 在 公共 网 络 中 隐藏 企业 
内 部 设备 的 PP 地 址 ， 阻 止 来 自 公 共 网 络 上 的 攻击 。 

相 邻 路 由 器 验证 : 确保 所 交换 路 由 信息 的 可 靠 性 。 

视图 分 级 保护 : 将 用 户 分 成 4 级 ， 每 级 用 户 赋予 不 同 的 配置 权限 ， 级 别 低 的 用 户 不 
能 进入 更 高 级 的 视图 。 系 统 命令 行 采用 分 级 保护 方式 ， 命 令 行 划分 为 参观 级 、 监 控 
级 、 配 置 级 和 管理 级 4 个 级 别 ， 只 有 提供 了 正确 的 登录 口令 , 才能 使 用 相应 的 命令 。 


6.2 AAA 与 RADIUS 协议 原理 及 配置 


在 这 一 小 节 中 介绍 AAA 与 RADIUS 协议 的 原理 、 配 置 方法 及 调试 及 典型 配置 举例 。 
首先 介绍 AAA 与 RADIUS 协议 原理 。 


G2:1 


AAA 与 RADIUS 协议 原理 


AAA 是 Authentication〔 认 证 )、Authorization (授权 ) 和 Accounting ( 计 费 ) 的 简称 。 
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它 提供 对 用 户 进行 认证 、 授 权 和 计 费 三 种 安全 功能 。AAA 一 般 采 用 客户 /服务 器 结构 ， 客 
户 端 运行 于 被 管理 的 资源 侧 ， 服 务 器 上 则 集中 存放 用 户 信 息 。 这 种 结构 既 具 有 良好 的 可 扩 
展 性 ， 又 便于 用 户 信息 的 集中 管理 。 具 体 如 下 : 

。 认证 : 认证 用 户 是 否 可 以 获得 访问 权 ， 确 定 哪 些 用 户 可 以 访问 网 络 。 

。 授权 : 授权 用 户 可 以 使 用 哪些 服务 。 

。 计 费 : 记录 用 户 使 用 网 络 资源 的 情况 。 

实现 AAA 功能 可 以 在 本 地 进行 ,也 可 以 由 AAA 服务 器 在 远程 进行 。 计 费 功 能 由 于 占 
用 系统 资源 大 通常 都 使 用 AAA 服务 器 实现 。 对 于 用 户 数 量 大 的 情况 ， 验 证 和 授权 也 应 该 
使 用 AAA 服务 器 。AAA 服务 器 与 网 络 设备 的 通信 有 标准 的 协议 ,日 前 比较 流行 的 是 
RADIUS 协议 。 

提供 AAA 支持 的 服务 包括 : PPP 的 PAP 和 CHAP (验证 用 )、 通 过 telnet 登录 到 路 由 
器 ， 以 及 通过 各 种 方式 〈 如 console 口 ，aux 口 等 ) 进入 到 路 由 器 进行 配置 的 操作 和 FTP 
即 通过 ftp 登录 到 路 由 器 的 用 户 ， 如 图 6-1 所 示 。 


验证 授权 


加 用 户 名 、 口 人 验证 中 有 辐 疙 

| PPP 的 CHAP 验 证 | 回 呼号 码 

已 [在册 号 码 认证 己 [ 隧道 属性 
图 6-1 


1. 验证 


用 户 名 、 口令 验 证 ， 包括 PPP 的 PAP 验证 、 用 户 的 CHAP 验证 、EXEC 用 户 验证 、 
FTP 拥护 验证 和 拨号 的 PPP 用 户 可 以 进行 号 码 验证 。 


2. 授权 


服务 类 型 授权 包括 一 个 用 户 授 权 提供 的 服务 。 可 以 是 PPP、EXEC 和 FTP 中 的 一 种 或 
几 种 。 回 呼号 码 对 PPP 回 呼 用 户 可 以 设 定 回 呼号 码 。 隧 道 属性 配置 L2TP 的 隧道 属性 。 验 
证 、 授 权 可 以 在 本 地 进行 ， 也 可 以 在 RADIUS 服务 器 进行 。 但 对 一 个 应 用 服务 的 验证 和 授 
权 应 使 用 相同 的 方法 ， 可 以 使 验证 、 授 权 均 在 本 地 进行 ， 也 可 以 使 用 RADIUS 服务 器 。 

RADIUS 是 远程 认证 拨号 用 户 服务 (Remote Authentication Dial-In User Service) 的 简 
称 ， 最 初 由 Livingston Enterprise 公司 开发 ， 作 为 一 种 分 布 式 的 客户 机 /服务 器 系统 ， 能 提 
供 AAA 功能 。RADIUS 技术 可 以 保护 网 络 不 受 未 授权 访问 的 干扰 ， 常 被 用 在 既 要 求 较 高 
安全 性 又 要 求 维持 远程 用 户 访问 的 各 种 网 络 环境 中 〈 如 用 来 管理 使 用 串口 和 调制 解 调 器 的 
大 量 分 散 拨号 用 户 )。 

RADIUS 基于 客户 /服务 器 模型 ，NAS〈 如 路 由 器 ) 作为 RADIUS 客户 端 ， 负 责 传输 用 
户 信息 到 指定 的 RADIUS 服务 器 ， 然 后 根据 从 服务 器 返回 的 信息 进行 相应 处 理 〈 如 接 入 / 


挂 断 用 户 )。RADIUS 服务 器 负责 接收 用 户 连 接 请 求 ， 认 证 用 户 ， 然 后 给 NAS 返回 所 有 需 
要 的 信息 。RADIUS 服务 器 通常 要 维护 三 个 数据 库 : 第 一 个 数据 库 Users 用 于 存储 用 户 信 
息 (如 用 户 名 ,口令 及 使 用 的 协议 ,IP 地 址 等 配置 ), 第 二 个 数据 库 Clients 用 于 存储 RADIUS 
客户 端的 信息 (如 共享 密 钥 ), 第 三 个 数据 库 Dictionary 存储 的 信息 用 于 解释 RADIUS 协议 
中 的 属性 和 属性 值 的 含义 。 如 图 6-2 所 示 。 


RADIUS Server 


Users Clients Dictionary 


图 62 


另外 ，RADIUS 服务 器 还 能 够 作为 其 他 AAA 服务 器 的 客户 端 进行 代理 认证 或 计 费 。 
RADIUS 服务 器 支持 多 种 方法 来 认证 用 户 ， 如 基于 PPP 的 PAP、CHAP 认证 , 基于 UNIX 
的 Login 等 。 

RADIUS 服务 器 对 用 户 的 认证 过 程 通常 需要 利用 NAS 等 设备 的 代理 认证 功能 ， 
RADIUS 客户 端 和 RADIUS 服务 器 之 间 通 过 共享 密 钥 认证 相互 间 交 互 的 消息 ,用 户 密码 采 
用 密 文 方式 在 网 络 上 传输 ， 增 强 了 安全 性 。RADIUS 协议 合并 了 认证 和 授权 过 程 ， 即 响应 
报 文 中 携带 了 授权 信息 。RADIUS 的 基本 消息 交互 流程 如 图 6-3 所 示 。 


RADIUS Client RADIUS Server 


时 <> 总 


用 户 输入 用 户 名 /口令 


认证 请 求 包 (Access-Request) 
认证 接受 包 Access-Accept 
计 费 开始 请 求 包 Accounting-Request (start) 
计 费 开始 请 求 响应 包 Re 


用 户 访问 资源 


计 费 结束 请 求 包 Accounting-Request (stop) 
计 费 结束 请 求 响应 包 Accounting-Response 


通知 访问 结束 


图 6-3 
基本 交互 步骤 如 下 : 
(1) 用 户 输 入 用 户 名 和 口令 。 


(2) RADIUS 客户 端 根据 获取 的 用 户 名 和 口令 ， 向 RADIUS 服务 器 发 送 认证 请 求 包 
(Access-Request )。 
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(3) RADIUS 服务 器 将 该 用 户 信息 与 Users 数据 库 信息 进 行 对 比分 析 ， 如 果 认 证 成 
功 ， 则 将 用 户 的 权限 信息 以 认证 响应 包 (Access-Accept) 发 送 给 RADIUS 客户 端 ; 如 果 
认证 失败 ， 则 返回 Access-Reject 响应 包 。 

(4) RADIUS 客户 端 根据 接收 到 的 认证 结果 接 入 /拒绝 用 户 。 如 果 可 以 接 入 用 户 ， 则 
RADIUS 客户 端 向 RADIUS 服务 器 发 送 计 费 开始 请 求 包 (Accounting-Request )， 
Status-Type 取 值 为 start。 

(5) RADIUS 服务 器 返回 计 费 开始 响应 包 (Accounting-Response)。 

(6) RADIUS 客户 端 向 RADIUS 服务 器 发 送 计 费 停止 请 求 包 ，Status-Type 取 值 
为 stop。 

(7) RADIUS 服务 器 返回 计 费 结束 响应 包 (Accounting-Response)。 

RADIUS 采用 UDP 传输 消息 ， 通 过 定时 器 管理 机 制 、 重 传 机 制 、 各 用 服务 器 机 制 ， 确 
保 RADIUS 服务 器 和 客户 端 之 间 交 互 消息 的 正确 收发 。RADIUS 报 文 结构 如 图 6-4 所 示 。 


Code | ldentifier Length 


Authenticator 


Attribute 


图 6-4 


其 中 Identifier 域 用 于 匹配 请 求 包 和 响应 包 ， 随 着 Attribute 域 改 变 、 接 收 到 有 效 响应 包 
也 在 不 断 变 化 ， 而 在 重 传 时 保持 不 变 Authenticator 域 (16 字 节 ) 用 于 验证 RADIUS 服务 器 
传输 回来 的 请 求 ， 同 时 用 于 密码 隐藏 算法 上 ， 分 为 Request Authenticator 和 Response 
Authenticatoro，Request Authenticator 采用 16 字 节 的 随机 码 。Response Authenticator 是 对 
Code、Identifier、Request Authenticator 、Length、Attribute 和 共享 密 钥 进行 MD5 算法 后 
的 结果 。RADIUS 使 用 UDP 作为 传输 协议 , 具有 良好 的 实时 性 。 同 时 也 支持 重 传 机 制 和 备 
用 服务 器 机 制 ， 从 而 有 较 好 的 可 靠 性 。RADIUS 的 实现 比较 简单 ， 适 用 于 大 用 户 量 时 服务 
器 端的 多 线程 结构 。 正 因为 如 此 RADIUS 协议 得 到 了 广泛 的 应 用 。 

RADIUS 实现 AAA 的 流程 如 图 6-5 所 示 。 


Quidway Series Router AAA Server 
用户 上 网 。 验证 请 求 
授权 并 允许 用 户 上 网 ”一 “验证 授权 通过 _ 
一 一 一 一 一 一 计 费 开始 请 求 
计 费 开始 应 答 
= 计 费 结束 请 求 
计 费 结束 应 答 


图 6-5 


第 6 章 路 由 器 安全 管理 


RADIUS 协议 采用 客户 机 /服务 器 结构 ,路 由 器 作为 客户 端 与 RADIUS 服务 器 通信 的 桥 
梁 。UDP (User Datagram Protocol， 用 户 数据 报 协议 ) 是 一 种 面向 无 连接 的 协议 ， 传 输 层 
保证 报 文 的 可 靠 性 和 顺序 性 , 因为 报 文 可 能 丢失 或 者 是 乱 序 .RADIUS 协议 使 用 了 两 个 UDP 
端口 分 别 用 于 验证 〈 以 及 验证 通过 后 对 用 户 的 授权 ) 和 计 费 。 在 RADIUS 的 协议 文本 RFC 
2138 和 RFC 2139 中 ， 使 用 1812 号 端口 作为 验证 端口 ，1813 号 端口 为 计 费 端口 。 也 可 以 
使 用 其 他 端口 。RADIUS 协议 采用 了 “请 求 /响应 ”的 操作 模式 ， 请 求 由 客户 端 发 起 ， 当 
RADIUS 服务 器 收 到 合法 的 请 求 后 就 要 给 予 响应 。 由 于 UDP 报 文 可 能 会 丢失 , 网 络 也 可 能 
临时 出 现 故 障 ， 因 此 路 由 器 提供 重 传 机 制 ， 当 在 一 定时 间 内 没有 收 到 RADIUS 服务 器 的 响 
应 时 ， 会 重 传 刚才 的 请 求 。 如 果 多 次 重 传 后 仍然 收 不 到 响应 ， 那 么 路 由 器 会 向 备用 的 
RADIUS 服务 器 发 送 请 求 。 作 为 安全 协议 ，RADIUS 自身 的 安全 性 也 有 一 定 考虑 。 客 户 端 
与 服务 器 端 有 共享 密 钥 。 通 信 时 使 用 MD5 算法 ， 通 过 共享 密 钥 对 包 进 行 数 字 签名 ， 验 证 
签名 的 正确 性 可 以 防止 网 络 上 的 其 他 主机 冒充 路 由 器 或 者 RADIUS 服务 器 。 用 户口 令 也 需 
要 进行 加 密 后 再 在 Internet 上 传送 ， 使 口令 不 会 泄漏 。 RADIUS 包 有 0 到 多 个 属性 ， 用 户 
的 各 种 信息 均 写 在 属性 中 ， 一 些 属 性 协议 还 规定 了 各 属性 值 的 含义 。 性 能 的 扩展 只 需要 增 
加 包 中 所 带 的 属性 即 可 .使 用 中 还 可 以 定义 私有 的 属性 类 型 和 属性 值 .这 需要 修改 RADIUS 
服务 器 的 属性 字典 。 

RADIUS 实现 AAA 验证 和 授权 过 程 如 下 : 

(1) 首先 发 送 验 证 请 求 包 。 在 用 户 名 、 口 令 验证 时 ， 验 证 请 求 包 包含 用 户 名 和 加 密 后 
的 口令 ; CHAP 验证 中 包含 用 户 名 ，CHAP 验证 过 程 中 的 各 项 (Challenge、CHAP Identifier 
和 Response)。 主 叫 号 码 验 证 还 需要 有 主 叫 号 码 。 

(2) RADIUS 服务 器 收 到 验证 请 求 包 后 ， 首 先 检查 包 的 合法 性 ， 然 后 根据 包 中 用 户 信 
息 验 证 用 户 是 否 合法 。 如 果 用 户 非法 ， 则 向 路 由 器 发 送 访问 拒绝 包 ， 如 果 用 户 合法 ， 那 么 
RADIUS 服务 器 会 将 用 户 授权 信息 《如 用 户 类 型 、 回 呼号 码 等 ) 打包 发 送 到 路 由 器 ， 该 包 
称 为 访问 接受 包 。 

(3) 路 由 器 收 到 访问 接受 /拒绝 包 时 ， 首 先 要 判断 包 中 的 签名 是 否 正 确 ， 如 果 不 正 确 将 
认为 收 到 了 一 个 非法 的 包 。 如 果 签 名 正确 ， 且 收 到 的 是 访问 接受 包 ， 那 么 路 由 器 会 判断 授 
权 服务 类 型 是 否 与 此 用 户 相符 ， 如 果 不 符 则 拒绝 该 用 户 的 上 网 请 求 ， 如 果 符 合 则 接受 用 户 
的 上 网 请 求 ,并 使 用 其 他 用 户 授权 信息 对 用 户 进行 处 理 (如 回 呼 、L2TP 隧道 属性 的 设置 )。 
如 果 签 名 正确 且 收 到 的 是 访问 拒绝 包 ， 则 拒绝 该 用 户 的 上 网 请 求 。 


6.2.2 AAA 与 RADIUS 协议 配置 方法 


首次 使 用 AAA, 经 常 发 生 配 置 了 用 户 而 验证 不 通过 的 情况 。 这 实际 上 是 由 于 没有 学 会 
灵活 使 用 aaa accounting-scheme optional 的 原因 。 这 种 情况 不 是 验证 不 通过 , 而 是 计 费 失败 ， 
切断 了 用 户 。 

因为 开始 使 用 的 时 候 启 用 AAA, 这 时 默认 使 用 本 地 验证 .而 本 地 验证 也 是 需要 计 费 的 ， 
由 于 没有 配置 RADIUS 服务 器 ， 造 成 计 费 失败 ， 而 因为 没有 配置 aaa accounting-scheme 
optional， 在 计 费 失败 时 就 断 开 用 户 ， 因 此 用 户 不 能 成 功 上 网 。 

aaa accounting-scheme optional 的 作用 是 在 计 费 失败 时 允许 用 户 继续 使 用 网 络 。 因 此 在 
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验证 不 了 计 费 的 情况 下 ， 一 定 要 注意 配置 aaa accounting-scheme optional 命令 。 
AAA 的 配置 包含 如 下 几 个 主要 步骤 。 


1. 首先 应 该 能 够 使 用 AAA 


在 默认 情况 下 禁止 使 用 AAA。 在 系统 视图 下 进行 下 列 配置 ， 操 作 命 令 为 : 
AAA aaa enable 
禁止 AAA undo aaa enable 


2. 配置 认证 方案 


(1) 如 果 配 置 通过 FTP、Telnet 登录 到 路 由 器 ， 以 及 通过 各 种 终端 服务 方式 〈 如 
Console 口 、Aux 口 等 ) 进入 到 路 由 器 进行 配置 的 操作 的 Login 用 户 认 证 方案 , 在 系统 视图 
下 操作 命令 如 下 。 

aaa _ authentication-scheme login { default | scheme-name } [ methodl | [ template 
Server-template-name [ method2 ] ] ] 

删除 AAA 的 Login 认证 方案 或 恢复 。 

undo aaa authentication-scheme login {default | scheme-name } 

其 中 ，methodl 为 认证 方法 ， 可 以 有 以 下 5 种 情况 : none、local、radius、radius none 
和 radius local。method2 只 能 为 local 或 none。 


注意 : FTP、Terminal、SSH 不 是 RADIUS 协议 的 标准 属性 取 值 ， 需 要 修改 RADIUS 
服务 器 的 属性 ， 在 属性 login-service ( 标准 属性 15) 中 增加 了 两 个 取 值 的 定义 : 

login-service(50)= FTP 

login-service(51)= Terminal 

login-service(52)= SSH 

修改 后 再 启动 RADIUS 服务 器 方 可 。 


(2) 如 果 配 置 通过 与 路 由 器 或 接 入 服务 器 建立 PPP 连接 (例如 拨号 、PPPoE 和 
PPPoA 等 ) 从 而 访问 网 络 的 用 户 的 PPP 用 户 认证 方案 ， 在 系统 视图 下 操作 命令 如 下 。 

aaa authentication-scheme ppp { default |scheme-name } [ methodl | [ template 
Server-template-name [ method2 ] ] ] 
禁止 用 指定 方案 。 
undo aaa authentication-scheme ppp { default | scheme-name } 
其 中 methodl 和 method2 与 配置 Login 的 参数 相同 , 另外 可 以 配置 多 个 PPP 的 认证 方 
用 于 不 同 端口 。 
(3) 如 果 配 置 AAA 的 本 地 优先 认证 ， 也 就 是 在 未 配置 本 地 优先 认证 时 ， 先 对 用 户 进 
行 RADIUS 认证 。 在 系统 视图 下 操作 命令 如 下 。 

aaa authentication-scheme local-first 

不 使 用 本 地 优先 认证 。 

undo aaa authentication-scheme local-first 


默认 为 不 使 用 本 地 优先 认证 。 


案 


3. 配置 计 费 方案 


1) 配置 AAA 的 计 费 可 选 

打开 或 关闭 AAA 计 费 可 选 开关 。 在 对 用 户 计 费 时 如 果 发 现 没有 可 用 的 RADIUS 计 费 
服务 器 或 与 RADIUS 计 费 服务 器 通信 失败 时 ， 若 配置 了 aaa accounting-scheme optional 命 
令 ， 则 用 户 可 以 继续 使 用 网 络 资源 。 否 则 用 户 的 连接 将 被 切断 。 计 费 均 是 通过 独立 计 费 服 
务 器 实现 ， 本 地 不 提供 计 费 功能 。 

请 在 系统 视图 、radius template 视图 进行 下 列 配置 : 

打开 计 费 可 选 开关 aaa accounting-scheme optional 

关闭 计 费 可 选 开关 undo aaa accounting-scheme optional 

计 费 可 选 开关 配置 对 所 有 非 指定 RADIUS 服务 器 或 服务 器 模板 的 计 费 均 起 作用 。 

2) 配置 AAA 的 PPP 计 费 方案 

对 通过 与 路 由 器 或 接 入 服务 器 建立 PPP 连接 , 从 而 访问 网 络 的 用 户 , 进行 计 费 时 使 用 
PPP 计 费 方案 。 在 系统 视图 下 进行 下 列 配置 : 

PPP 计 费 方案 配置 操作 命令 对 使 用 PPP 服务 的 用 户 按 指定 方案 进行 计 费 。 

aaa accounting-scheme ppp { default | scheme-name } {[ start-stop | wait-start | stop-only ] 
{template server-template-name | radius } | none } 

取消 计 费 方案 或 恢复 默认 计 费 方案 的 计 费 方法 。 

undo aaa accounting-scheme ppp { default | scheme-name } 


4. 配置 本 地 用 户 数据 库 


本 地 数据 库 用 于 在 本 地 记录 用 户 的 相关 属性 列表 ， 如 用 户 名 、 口 令 、 等 级 及 其 他 相关 
信息 ， 它 可 以 直接 用 于 FTP、Telnet、Terminal 和 PPP 用 户 的 本 地 认证 〈 即 不 启动 AAA， 
具体 配置 请 分 别 参见 相关 章节 )， 也 可 以 用 作 AAA local 认证 方法 的 用 户 数据 库 。 

当 用 户 配置 了 radius 认证 方法 时 ， 应 在 radius 服务 器 端 进行 类 似 的 配置 〈 是 否 能 配置 
及 如 何 配置 取决 于 采用 的 服务 器 )， 此 时 本 地 配置 将 不 起 作用 。 

1) 配置 用 户 名 及 口令 

此 命令 用 于 配置 本 地 用 户 数据 库 中 的 用 户 名 及 口令 。 用 户 数据 库 不 仅 用 于 login 用 户 
(包括 Telnet、FTP 及 Terminal 用 户 等 ) 认证 ， 还 可 以 用 于 PPP 用 户 的 认证 。 在 系统 视图 
下 进行 配置 操作 命令 如 下 : 

配置 用 户 及 口令 local-user local-user [ password { simple | cipher } password ] 

取消 用 户 undo local-user local-user 

simple 代表 明文 ， 当 使 用 display 命令 显示 用 户 信 息 时 ， 该 口令 以 明文 显示 。 

cipher 代表 密 文 ， 当 使 用 display 命令 显示 用 户 信息 时 ， 该 口令 以 密 文 显 示 。 

如 果 仅 输入 local-user local-user 命令 后 即 回 车 ， 系 统 不 会 做 任何 反应 ， 即 不 会 生成 用 
户 名 为 local-user 的 新 用 户 ， 对 原 有 用 户 名 为 local-user 用 户 也 不 会 有 任何 影响 。 

2) 授权 用 户 可 以 使 用 的 服务 

本 命令 用 于 对 本 地 用 户 可 以 使 用 的 服务 进行 授权 。 默 认为 授权 所 有 服务 。 在 系统 视图 
下 进行 下 列 配置 : 
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配置 用 户 授权 local-user local-user service-type { [pad ] [ ftp ] [ppp ] [ terminal ] [ telnet ] 
[ssh]} 

恢复 用 户 默认 授权 undo local-user local-user service-type 

3) 设置 用 户 的 优先 级 

系统 提供 对 命令 的 分 级 管理 ， 即 对 所 有 命令 设 定 一 定 的 操作 级 别 ， 只 有 用 户 的 优先 级 
等 于 或 高 于 命令 的 级 别 ， 用 户 才 有 使 用 该 命令 的 权限 。 在 系统 视图 下 进行 下 列 配置 : 

配置 用 户 的 优先 级 local-user local-user level level 

设置 用 户 的 优先 级 为 默认 值 undo local-user local-user level 

level 代表 用 户 的 优先 级 ， 其 范围 是 0 一 3。 

4) 配置 FTP 用 户 的 目录 权限 

配置 用 户 的 FTP 目录 权限 。 在 系统 视图 下 进行 下 列 配置 : 

配置 FTP 用 户 的 目录 权限 local-user local-user ftp-directory directory 

取消 FTP 用 户 的 目录 权限 undo local-user local-user ftp-directory 

RADIUS 服务 器 端 也 可 以 配置 fp-directory， 可 以 在 RADIUS 服务 器 端的 属性 字典 中 
加 入 Ftp-Directory (106) 属性 ， 类 型 为 字符 串 。 此 属性 为 华为 定义 的 属性 ， 使 用 标准 属性 
Vendor-Specific， 华 为 公司 的 Vendor-Id 为 2011，Ftp-Directory 的 属性 类 型 (Vendor type) 
为 4。 

5) 配置 PPP 用 户 的 回 呼 认证 

(1) 配置 PPP 用 户 的 回 呼 (Callback) 属性 

可 以 用 以 下 命令 配置 PPP 用 户 的 回 呼号 码 。 在 系统 视图 下 进行 下 列 配 置 : 

配置 用 户 回 呼 属性 local-user local-user callback-number callback-number 

取消 用 户 回 呼 属性 undo local-user local-user callback-number 

如 果 PPP 没有 告知 AAA 此 用 户 是 回 呼 用 户 ，AAA 根据 此 用 户 是 否 配置 了 
callback-number 来 决定 。 如 果 配 置 了 callback-number, AAA 告知 PPP 此 用 户 是 回 呼 用 户 。 
反之 ,不 是 回 呼 用 户 。 如 果 PPP 告知 AAA 此 用 户 是 回 呼 用 户 ， 而 且 此 用 户 配置 了 
callback-number，AAA 把 该 值 传 给 PPP。 

(2) 配置 PPP 用 户 的 回 呼 验证 属性 

可 以 用 以 下 命令 配置 PPP 用 户 回 呼 验证 属性 。 

配置 用 户 回 呼 不 认证 local-user local-user callback-nocheck 

配置 用 户 回 呼 认证 undo local-user local-user callback-nocheck 

6) 配置 ISDN 用 户 的 主 叫 号 码 认证 

配置 了 用 户 的 call-number 就 表明 要 对 此 用 户 进行 主 叫 号 码 的 认证 。 目前 仅 限于 ISDN 
用 户 。 

配置 用 户主 叫 号 码 local-user local-user call-number call-number [subcall-number ] 

取消 用 户主 叫 号 码 undo local-user local-user call-number 


5. 配置 RADIUS 服务 器 


在 系统 视图 和 服务 器 模板 视图 下 , 均 可 以 配置 RADIUS 服务 器 。 如 果 要 配置 RADIUS 
服务 器 模板 ， 需 要 首先 创建 RADIUS 服务 器 模板 并 进入 RADIUS 服务 器 模板 视图 。 


RADIUS 服务 器 配置 包括 配置 服务 器 地 址 和 监听 端口 ， 以 及 RADIUS 协议 相关 的 其 他 属 
性 ， 包 括 共享 密 匙 、 重 传 次 数 、 超 时 重 传 的 时 间 间 隔 、 为 PPP 用 户 指定 认证 服务 器 、 服 务 
器 down 机 后 的 恢复 时 间 等 。 

1) 配置 RADIUS 服务 器 模板 

RADIUS 服务 器 模板 就 是 一 组 RADIUS 服务 器 。 在 配置 RADIUS 服务 器 模板 中 的 服 
务 器 之 前 ， 需 要 先 创建 RADIUS 服务 器 模板 。 在 创建 RADIUS 服务 器 模板 时 ， 如 果 指定 
的 RADIUS 服务 器 模板 不 存在 ， 则 增加 一 个 新 的 RADIUS 服务 器 模板 ， 同 时 进入 radius 
template 视图 。 在 radius template 视图 下 可 以 对 此 RADIUS 服务 器 模板 配置 RADIUS 服 
务 器 及 其 属性 。 在 系统 视图 下 进行 下 列 配置 : 

配置 RADIUS 服务 器 模板 radius-server template server-template-name 

删除 RADIUS 服务 器 模板 undo radius-server template server-template-name 

2) 配置 RADIUS 服务 器 

可 指定 RADIUS 服务 器 的 地 址 和 监听 端口 号 。 用 户 可 以 配置 多 个 RADIUS 服务 器 。 
系统 视图 下 最 多 可 以 配置 15 个 RADIUS 服务 器 , 在 一 个 Radius template 中 最 多 可 以 配置 
5 个 RADIUS 服务 器 。 每 个 Radius template 只 能 配置 一 个 主 RADIUS 认证 服务 器 、 一 个 
主 RADIUS 计 费 服务 器 。 配 置 RADIUS 主 服 务 器 时 ， 如 果 Radius template 中 已 经 有 主 
RADIUS 服务 器 , 则 将 用 新 配置 的 RADIUS 服务 器 作为 主 服务 器 , 原 主 服务 器 不 再 作为 主 
服务 器 。 在 没有 指定 主 RADIUS 服务 器 时 ， 系 统 将 根据 配置 时 间 的 先后 选择 使 用 的 
RADIUS 服务 器 ， 当 一 个 服务 器 失效 后 ， 系 统 会 自动 选择 下 一 个 服务 器 。 在 配置 了 主 
RADIUS 服务 器 后 , 将 首选 主 RADIUS 服务 器 实现 AAA。 当 主 RADIUS 服务 器 不 能 正常 
工作 后 ， 使 用 其 他 RADIUS 服务 器 工作 ， 每 隔 一 定时 间 ， 再 尝试 主 RADIUS 服务 器 是 否 
可 以 正常 工作 ,如 果 发 现 其 可 以 正常 工作 则 马上 恢复 使 用 主 RADIUS 服务 器 。 在 系统 视图 、 
radius template 视图 下 进行 下 列 配置 : 

配置 RADIUS 服务 器 人 P 地 址 (或 主机 名 )、 认 证 端口 号 和 计 费 端口 号 


radius server { server-name | server-address } [ authentication-port port-number ] 


[accounting-port port-number ] [auth-primary ] [ acct-primary ] 

取消 指定 的 RADIUS 服务 器 undo radius server { server-name | server-address } 

认证 端口 号 的 默认 值 为 1812， 设 置 为 0 表示 本 服务 器 不 作为 认证 服务 器 用 。 

计 费 端口 号 的 默认 值 为 1813， 设 置 为 0 表示 本 服务 器 不 作为 计 费 服务 器 用 。 

使 用 auth-primary 可 配置 RADIUS 服务 器 为 主 认 证 服务 器 。 使 用 acct-primary 可 配置 
RADIUS 服务 器 为 主 计 费 服务 器 。 

3) 配置 由 用 户 指定 RADIUS 服务 器 

可 以 由 用 户 指 定 RADIUS 服务 器 来 对 用 户 进 行 认证 。 


注意 : 该 功能 要 求 用 户 名 为 userid@server 形式 ， 其 中 userid 为 用 户 名 ，server 为 使 用 
的 RADIUS 服务 器 ， 该 功能 要 与 接口 上 的 认证 方案 配合 使 用 。 只 有 在 接口 上 配置 的 认证 方 
案 的 第 一 种 方法 为 radius 方法 时 配置 才 起 作用 。 对 用 户 进行 认证 时 将 试图 使 用 由 用 户 指定 
的 RADIUS 服务 器 , 当 此 RADIUS 服务 器 不 能 正常 工作 时 再 使 用 其 他 RADIUS 服务 器 进 
行 认证 。 

如 果 要 恢复 到 不 由 用 户 指定 RADIUS 服务 器 ， 使 用 命令 rundo radius appoint- 
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authentication。 请 在 系统 视图 、radius template 视图 下 进行 下 列 配置 : 

配置 由 用 户 指定 RADIUS 服务 器 radius appoint-authentication [ restricted ] 

禁止 由 用 户 指定 RADIUS 服务 器 undo radius appoint-authentication [ restricted ] 

restricted 表示 仅 限 使 用 指定 的 RADIUS 服务 器 对 用 户 进行 认证 。 配置 此 选项 后 ， 当 用 
户 指定 的 RADIUS 服务 器 不 存在 或 不 能 工作 时 直接 拒绝 用 户 请 求 。 

4) 配置 RADIUS 密 钥 用 于 加 密 用 户口 令 及 生成 回应 认证 符 (Response Authenticator) 

在 系统 视图 、radius template 视图 下 进行 下 列 配 置 : 

配置 RADIUS 密 钥 radius shared-key key-string 

删除 RADIUS 密 钥 undo radius shared-key 

注意 所 配 密 钥 要 与 RADIUS 服务 器 中 设 定 的 密 钥 相同 。 

5) 配置 RADIUS 回应 超时 时 间 

对 于 Radius client〈 如 路 由 器 ) 发 送出 去 的 包 ， 如 果 需 要 Radius server 应 答 ， 则 需要 
设置 一 个 超时 定时 器 ， 在 这 个 设 定 的 时 间 内 如 果 没 有 收 到 Radiusserver 的 应 答 ， 则 Radius 
client 重 发 此 报 文 。 在 系统 视图 、radius template 视图 下 进行 下 列 配置 : 

配置 RADIUS 回应 超时 时 间 radius timer response-timeout seconds 

恢复 默认 的 RADIUS 回应 超时 时 间 undo radius timer response-timeout 

默认 RADIUS 回应 超时 时 间 为 5s。 

6) 配置 RADIUS 重 传 次 数 

当 Radius client《〈 如 路 由 器 ) 向 RADIUS 服务 器 发 出 AAA 请 求 后 ， 在 规定 的 超时 时 
限 内 未 得 到 RADIUS 服务 器 发 回 的 应 答 时 ， 客 户 端 会 重 传 AAA 请 求 。 重 传 AAA 请 求 计 
数 超出 规定 最 大 重 传 次 数 后 , 认为 该 服务 器 已 不 能 正常 工作 。 请 在 系统 视图 radius template 
视图 下 进行 下 列 配置 : 

配置 RADIUS 重 传 次 数 radius retry retry-times 

恢复 RADIUS 默认 重 传 次 数 undo radius retry 

默认 重 传 次 数 为 3。 

7) 配置 RADIUS 服务 器 down 掉 后 检测 恢复 时 间 间 隔 

Radius client 〈 如 路 由 器 ) 默认 的 RADIUS 服务 器 down 掉 后 恢复 的 默认 时 间 为 5 分 
钟 。 请 在 系统 视图 、radius template 视图 下 进行 下 列 配置 : 

配置 RADIUS 服务 器 down 掉 后 检测 恢复 时 间 radius timer quiet minutes 

恢复 RADIUS 服务 器 默认 的 检测 恢复 时 间 undo radius timer quiet 

8) 配置 RADIUS 实时 计 费 包 发 送 间隔 时 间 

用 户 通 过 认证 后 ，NAS 以 配置 的 间隔 时 间 向 RADIUS 服务 器 发 送 用 户 的 实时 计 费 信 
息 ， 如 果实 时 计 费 请 求 失败 ， 将 根据 aaa accounting-scheme optional 命令 配置 情况 对 用 户 
进行 处 理 ， 如 果 用 户 配置 了 aaa accounting-scheme optional，NAS 将 允许 用 户 继续 使 用 网 
络 服务 ,反之 则 NAS 会 将 用 户 挂 断 。 默 认 不 使 用 实时 计 费 。 请 在 系统 视图 、radius template 
视图 下 进行 下 列 配置 : 

配置 RADIUS 实时 计 费 包 发 送 间隔 时 间 radius timerrealtime-accounting minutes 

不 使 用 实时 计 费 undo radius timer realtime-accounting 


6.2.3 AAA 和 RADIUS 显示 与 调试 


在 完成 上 述 配置 后 ,在 所 有 视图 下 执行 display 命令 可 以 显示 配置 后 AAA 和 RADIUS 
的 运行 情况 ， 通 过 查看 显示 信息 认证 配置 的 效果 。 执 行 debugging 命令 可 对 AAA 和 
RADIUS 进行 调试 。 

显示 在 线 用 户 情况 display aaa user 

查看 本 地 用 户 数 据 库 display local-user 

打开 AAA 事件 调试 开关 debugging aaa event 

关闭 AAA 事件 调试 开关 undo debugging aaa event 

打开 AAA 原 语调 试 开关 debugging aaa primitive 

关闭 AAA 原 语调 试 开关 undo debugging aaa primitive 

打开 RADIUS 报 文 调试 开关 debugging radius packet 

关闭 RADIUS 报 文 调试 开关 undo debugging radius packet 


6.2.4 AAA 和 RADIUS 典型 配置 举例 


1. 对 PPP 用 户 采用 RADIUS 服务 器 进行 认证 、 计 费 


1) 组 网 需求 

RADIUS 服务 器 129.7.66.66 作为 主 认 证 和 计 费 服务 器 ，RADIUS 服务 器 129.7.66.67 
作为 备用 认证 服务 器 和 计 费 服务 器 ， 认 证 端口 号 默认 为 1812， 计 费 端口 号 默认 为 1813。 

2) 组 网 图 

AAA 和 RADIUS 示例 组 网 图 如 图 6-6 所 示 。 


时 "号" 
部 广 剖 


RADIUS 服务 器 


129.7.66.66 
RouterB RouterA 


s0/0/0 


RADIUS 服务 器 
129.7.66.67 


ISDN\PSTN 
Modem Modem 


被 访问 网 络 


3) 配置 步骤 
配置 RouterA # 启 动 AAA。 
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[Quidway] aaa enable 
# 配置 PPP 用 户 的 默认 认证 方案 
[Quidway] aaa authentication-scheme ppp default radius 
# 配置 RADIUS 服务 器 IP 地 址 和 端口 
[Quidway] radius server 129.7.66.66 auth-primary acct-primary 
[Quidway] radius server 129.7.66.67 
# 配置 RADIUS 服务 器 密 铀 、 重 传 次 数 、 超 时 定时 器 时 间 长 度 及 计 费 选项 
[Quidway] radius shared-key this-is-my-secret 
[Quidway] radius retry 2 
[Quidway] aaa accounting-scheme ppp default radius 
[Quidway] radius timer response-timeout 5 
# 配置 Serial0/0/0 口 应 用 认证 方案 
[Router-Serial0/0/0] ppp authentication-mode chap scheme default 


2. 对 FTP 用 户 采用 RADIUS 服务 器 进行 认证 


(1) 组 网 需求 对 FTP 用 户 先 用 RADIUS 服务 器 进行 认证 ， 如果 没 有 响应 ， 则 不 认证 。 
认证 服务 器 使 用 129.7.66.66， 无 备用 服务 器 ， 端 口号 为 默认 值 1812。 

(2) 组 网 图 同上 。 

(3) 配置 步骤 。 

# 启动 AAA 

[Quidway] aaa enable 

# 配置 Login 用 户 的 默认 认证 方案 

[Quidway] aaa authentication-scheme login default radius none 

# 配置 RADIUS 服务 器 

IP 地 址 和 端口 ， 使 用 默认 端口 号 。 

[Quidway] radius server 129.7.66.66 

# 配置 RADIUS 服务 器 密 钥 、 重 传 次 数 、 超 时 定时 器 时 间 长 度 及 RADIUS 服务 器 down 

掉 后 的 恢复 时 间 。 

[Quidway] radius shared-key this-is-my-secret 

[Quidway] radius retry 4 

[Quidway] radius timer response-timeout 2 

[Quidway] radius timer quiet 1 

# 启动 FTP 服务 器 

[Quidway] ftp-server enable 


6.3 ”访问 控制 列表 配置 


在 本 小 节 中 主要 介绍 访问 控制 列表 的 概念 、 创 建 及 详细 的 配置 举例 。 


6.3.1 访问 控制 列表 简介 


访问 控制 列表 (Access Control List，ACL ) 为 网 络 设备 提供 基本 的 服务 安全 性 。 对 某 
类 服务 而 言 , 安全 管理 员 首先 应 该 考虑 该 服务 是 否 有 必要 运行 在 当前 环境 中 。 如 果 有 必要 ， 
又 有 哪些 用 户 能 够 享用 该 服务 。 如 果 该 服务 不 必要 ， 则 应 当 禁 止 该 服务 。 因 为 运行 这 个 不 
必要 的 服务 ， 不 仅 会 浪费 网 络 等 资源 ， 而 且 会 给 当前 的 网 络 环境 带 来 安全 隐患 。 如 果 是 前 
分 用 户 需要 ， 则 应 当 为 该 服务 规划 权限 ， 禁 止 无 权限 的 用 户 使 用 该 服务 。 如 果 某 类 服务 仅 
仅 在 网 络 内 部 需要 ， 则 还 需 尽 力 避 免 该 服务 被 网 络 外 部 访问 。 同 样 ， 如 果 某 类 服务 仅 在 网 
络 外 部 是 必须 的 ， 则 管理 员 还 应 将 该 服务 限制 在 网 络 外 部 。 对 于 某 些 服务 来 说 ， 即 使 用 户 
能 使 用 该 服务 ， 安 全 管理 员 也 应 该 能 监管 该 服务 的 使 用 情况 ， 比 如 控制 某 服务 只 能 在 某 段 
时 间 内 使 用 ， 对 该 服务 的 使 用 量 进 行 统计 等 。 在 使 用 访问 控制 列表 之 前 ， 安 全 管理 员 必 须 
非常 清楚 当前 网 络 环境 的 安全 规划 和 潜在 的 安全 问题 。 例 如 在 企业 网 内 部 ， 管 理 员 必 须 清 
楚 部 门 A、 部 门 B 能 够 访问 的 服务 器 内 容 ， 部 门 A 和 部 门 B 相互 之 间 能 够 互通 的 服务 ， 
各 部 门 能 够 访问 的 企业 网 络 外 部 服务 ， 能 被 企业 网 络 外 部 访问 的 服务 ， 以 及 服务 器 的 访问 
权限 等 。 对 到 达 端 口 的 数据 包 进 行 分 类 ， 并 打上 不 同 的 动作 标记 ， 访 问 列表 作用 于 路 由 器 
的 所 有 端口 ， 访 问 列 表 的 主要 用 途 有 包 过 滤 、 镜 像 、 流 限制 、 流 统计 和 分 配 队 列 优先 级 等 。 

当 访 问 控制 列表 被 创建 后 ， 既 可 以 以 用 于 拒绝 某 些 数据 包 经 过 某 个 路 由 器 接口 ， 也 可 
用 于 拒绝 某 些 数据 包 经 过 路 由 器 的 所 有 接口 。 路 由 器 的 访问 控制 列表 在 创建 后 将 应 用 于 路 
由 器 的 端口 上 。 默 认 情况 下 ， 路 由 器 将 允许 所 有 的 数据 包 经 过 所 有 接口 ， 即 不 做 任何 转发 
限制 。 而 采用 访问 控制 列表 ， 则 路 由 器 在 转发 某 个 数据 包 之 前 ， 将 会 参考 访问 控制 列表 中 
的 内 容 以 确定 是 否 转发 。 最 初 ， 访 问 控制 列表 的 作用 仅 限于 决定 是 否 转发 数据 包 〈 如 转发 
或 丢弃 )。 管理 员 只 能 对 怀疑 的 数据 包 作出 丢弃 决定 , 但 不 能 监控 那些 存在 安全 隐患 的 数据 
包 。 路 由 器 提供 给 管理 员 更 丰富 的 功能 ， 如 利用 访问 控制 列表 进行 数据 包 分 析 、 流 量 限 制 
和 流量 统计 。 使 用 的 技术 如 下 。 

。 包 过 滤 〈Packet Filtering) 技术 : 指 对 每 个 数据 包 按照 用 户 所 定义 的 项 目 进行 过 滤 ， 
如 比较 数据 包 的 源 地 址 、 口 的 地 址 是 否 符 合 规则 等 。 包 过 滤 不 涉及 会 话 的 状态 ， 也 
不 分 析 数 据 ， 只 分 析 数 据 包 的 包头 信息 。 如 果 配 置 的 规则 合理 ， 在 这 一 层 能 够 过 滤 
掉 很 多 有 安全 隐患 的 数据 包 。 
报 文 监控 (Packet Monitoring ) 技术 : 一 般 1 台 设 备 需要 一 个 监控 端口 就 可 以 监控 设 
备 的 所 有 端口 。 监 控 端 口 一 般 接 报 文 /协议 分 析 仪 ， 用 于 报 文 /协议 分 析 。 管 理 员 事 
先 确 定 要 监控 的 报 文 类 型 ， 如 ICMP 报 文 。 这 时 进入 或 离开 路 由 器 的 所 有 ICMP 报 
文 都 会 被 复制 到 监控 端 ， 连 接 到 该 端口 的 网 络 分 析 仪 能 同时 收 到 该 报 文 进行 分 析 。 
流量 限制 (CAR) 技术 : 管理 员 可 以 限制 某 一 源 与 目的 对 之 间 的 平均 报 文 流 量 。 既 
可 以 是 IP 地 址 对 ， 也 可 以 是 MAC 地 址 对 。 流 量 限制 将 在 两 个 方向 上 同时 进行 。 
报 文 统计 (Packet Gathering) 技术 : 管理 员 确 定 要 统计 的 报 文 流向 ， 即 从 何 处 而 来 
( 报 文 的 源 地 址 ), 准备 去 哪里 ( 报 文 的 口 的 地 址 )。 这 里 的 地 址 既 可 以 是 MAC 地 址 ， 
也 可 以 是 人 地 址 。 可 以 统计 双向 的 报 文 流量 , 统计 结果 即 可 以 是 报 文 的 字数 ， 也 可 
以 是 报 文 的 包 数 。 
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下 面 将 主要 介绍 ACL 在 包 过 滤 力 一 面 的 应 用 ， 实 际 上 ACL 在 QOS 等 有 相当 广泛 的 
应 用 ， 本 书 不 进行 详细 的 介绍 。 大 多 数 访问 控制 列表 在 数据 本 身上 不 做 任何 事 ， 不 能 基于 
数据 流 的 实际 内 容 作 出 操作 决定 。 对 报 文 过 滤 而 言 ， 访 问 控制 列表 只 能 实现 不 让 任何 人 从 
外 界 使 用 Telnet 登录 。 让 哪个 人 用 SMTP 向 我 们 发 送 电子 邮件 。 哪 台 机 器 能 把 新 闻 发 给 我 
们 ， 但 是 其 他 机 器 不 能 这 样 做 。 然 而 ， 访 问 控制 列表 不 能 实现 如 下 的 一 些 需求 : 某 个 特定 
用 户 能 从 外 部 远程 登录 ， 但 是 其 他 用 户 不 能 这 样 做 。 因 为 “用 户 ” 不 是 数据 包 过 滤 系 统 所 
能 辨认 的 。 可 以 发 送 这 些 文件 而 不 是 那些 文件 “文件 ”也 不 是 数据 包 过 滤 系 统 所 能 辨认 的 。 

路 由 器 为 了 过 滤 数 据 包 ， 需 要 配置 一 系列 的 规则 ， 以 决定 什么 样 的 数据 包 能 够 通过 ， 
这 些 规则 就 是 通过 访问 控制 列表 ACL (Access Control List) 定义 的 。 访 问 控制 列表 是 由 
permit | deny 语句 组 成 的 一 系列 有 顺序 的 规则 ， 这 些 规 则 根据 数据 包 的 源 地 址 、 目 的 地 址 、 
端口 号 等 来 描述 。ACL 通过 这 些 规 则 对 数据 包 进 行 分 类 ， 这 些 规 则 应 用 到 路 由 器 接口 上 ， 
路 由 器 根据 这 些 规则 判断 哪些 数据 包 可 以 接收 ， 哪 些 数据 包 需 要 拒绝 。 


1. 访问 控制 列表 的 分 类 


按照 访问 控制 列表 的 表示 方法 ， 可 以 分 为 如 下 两 类 。 

。 名 字 型 的 访问 控制 列表 : 使 用 名 字 来 表示 一 个 访问 控制 列表 。 

。 数字 型 的 访问 控制 列表 : 使 用 数字 来 表示 一 个 访问 控制 列表 。 

按照 访问 控制 列表 的 用 途 ， 可 以 分 为 如 下 三 类 。 

。 基本 的 访问 控制 列表 (Basic Acl)。 

。 高 级 的 访问 控制 列表 (Advanced Acl)。 

。 基于 接口 的 访问 控制 列表 (Interface-based Acl)。 

当 使 用 数字 型 的 访问 控制 列表 的 时 候 ， 访 问 控制 列表 的 用 途 是 依靠 数字 的 范围 来 指定 
的 ，1 一 99 范围 的 数字 型 访问 控制 列表 是 基本 的 访问 控制 列表 ，100 一 199 范围 的 数字 型 访 
问 控制 列表 是 高 级 的 访问 控制 列表 ，1000 一 1999 是 基于 接口 的 访问 控制 列表 。 当 使 用 名 字 
型 的 访问 控制 列表 的 时 候 ， 需 要 指定 该 访问 控制 列表 的 使 用 类 型 。 


2. 访问 控制 列表 的 匹配 顺序 


现在 我 们 已 经 介绍 了 在 不 同类 型 的 访问 控制 列表 ， 如 何 进行 规则 的 配置 。 由 于 在 一 条 
访问 控制 列表 中 ， 往 往 会 配置 多 条 规则 ， 而 每 一 条 规则 指定 的 数据 包 的 范围 大 小 有 别 ， 一 
个 访问 控制 列表 可 以 由 多 条 permitldeny 语句 组 成 , 每 一 条 语句 描述 的 规则 是 不 相同 ， 这 些 
规则 可 能 存在 重复 或 矛盾 的 地 方 ,在 将 一 个 数据 包 和 访问 控制 列表 的 规则 进行 匹配 的 时 候 ， 
到 底 采 用 哪些 规则 呢 ? 就 需要 确定 规则 的 匹配 顺序 。 这 样 在 匹配 一 个 访问 控制 规则 的 时 候 
就 存在 匹配 顺序 的 问题 。 访 问 控制 列表 子规 则 的 匹配 顺序 有 如 下 两 种 : 

。 config: 指定 匹配 该 规则 时 按 用 户 的 配置 顺序 。 

。 auto: 指定 匹配 该 规则 时 系统 自动 排序 。( 按 “深度 优先 ”的 顺序 》 

默认 情况 下 匹配 顺序 为 按 用 户 的 配置 排序 ， 即 config。 用 户 如 指定 某 条 访问 控制 规则 
的 匹配 顺序 , 就 不 能 再 更 改 该 顺序 , 除非 把 该 规则 的 内 容 全 部 删除 , 再 重新 指定 其 匹配 顺序 。 

auto 所 用 的 “深度 优先 ”的 原则 是 指 : 把 指定 数据 包 范 围 最 小 的 语句 排 在 最 前 面 。 这 
点 可 以 通过 比较 地 址 的 通配符 来 实现 ， 通 配 符 越 小 ， 则 指定 的 主机 的 范围 就 越 小 。 比 如 


129.102.1.1 0.0.0.0 指定 了 一 台 主 机 : 129.102.1.1， 而 129.102.1.1 0.0.255.255 则 指定 了 一 个 
网 段 : 从 129.102.1.1 到 129.102.255.255 显然 前 者 在 访问 控制 规则 中 排 在 前 面 。 具 体 标准 
为 : 对 于 基本 访问 控制 规则 的 语句 ,直接 比较 源 地 址 通配符 , 通配符 相同 的 则 按 配 置 顺序 ; 
对 于 基于 接 1 : 1 过 滤 的 访问 控制 规则 , 配置 了 any 的 规则 排 在 后 面 ， 其 他 按 配 置 顺序 ; 对 
于 高 级 访问 控制 规则 ， 首 先 比较 源 地 址 通配符 ， 相 同 的 再 比较 目的 地 址 通配符 ， 仍 相同 的 
则 比较 端口 号 的 范围 ， 范 围 小 的 排 在 前 面 ， 如 果 端 口号 范围 也 相同 则 按 配置 顺序 ， 使 用 
display acl 命令 就 可 以 看 出 是 哪 条 规则 首先 生效 。 显 示 时 ， 列 在 前 面 的 规则 首先 生效 。 


6.3.2 ”访问 控制 列表 的 创建 


一 个 访问 控制 列表 是 由 permit | deny 语句 组 成 的 一 系列 的 规则 列表 ， 若 干 个 规则 列表 
构成 一 个 访问 控制 列表 。 在 配置 访问 控制 列表 的 规则 之 前 ， 首 先 需要 创建 一 个 访问 控制 
列表 。 

创建 一 个 访问 控制 列表 ， 先 确定 ACL 是 数字 型 的 还 是 名 字 型 的 ， 需 要 指定 如 下 参数 。 

ACL 如 果 是 名 字 型 的 ， ACL 还 需要 指定 ACL 的 用 途 类 型 ， 指 定 该 访问 控制 列表 的 匹 
配 顺 序 ， 可 以 使 用 如 下 命令 创建 一 个 访问 控制 列表 : 

acl { number acl-number | name acl-name [ basic | advanced | interface ] } [ match-order 
fconfig | auto } ] 

使 用 如 下 的 命令 删除 一 个 或 所 有 的 访问 控制 列表 : 

undo acl { number acl-number | name acl-name | all } 

参数 说 明 如 下 。 

。 number acl-number: 定义 一 个 数字 型 的 ACL。 

。 name acl-name: 定义 一 个 名 字 型 的 ACL。 

。 basic: 定义 一 个 用 途 类 型 为 基本 的 ACL。 
advanced: 定义 一 个 用 途 类 型 为 高 级 的 ACL。 
interface: 定义 一 个 用 途 类 型 为 基于 接口 的 ACL。 
acl-number: 访问 控制 规则 序号 ，1 一 199 和 1000 一 1999 之 间 的 数字 。 
match-order config: 指定 匹配 该 规则 时 按 用 户 的 配置 顺序 。 
match-order auto: 指定 匹配 该 规则 时 系统 自动 排序 ， 即 按 “深度 优先 ”的 顺序 。 
all: 删除 所 有 配置 的 ACL。 

如 前 所 述 ， 默 认 情 况 下 匹配 顺序 为 按 用 户 的 配置 排序 ， 即 conffig。 用 户 一 旦 指定 某 一 
条 访问 控制 列表 的 匹配 顺序 ,就 不 能 再 更 改 该 顺序 ， 除非 把 该 ACL 的 内 容 全 部 删除 ， 再 重 
新 指定 其 匹配 顺序 。 

创建 了 一 个 访问 控制 列表 之 后 ， 将 进入 ACL 视图 ，ACL 视图 是 按照 访问 控制 列表 的 
用 途 来 分 类 的 ， 例 如 创建 了 一 个 数字 编号 为 100 的 数字 型 ACL， 将 进入 高 级 ACL 视图 ， 
路 由 器 的 提示 符 如 下 所 示 : 

[Quidway -acl-adv-100] 

如 果 创 建 一 个 名 字 为 test 的 基本 ACL， 将 进入 基本 ACL 视图 ， 路 由 器 的 提示 符 如 下 : 

[Quidway -acl-basic-test] 
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对 于 名 字 型 的 访问 控制 列表 ， 在 第 一 次 创建 的 时 候 ， 必 须 指定 该 访问 控制 列表 的 用 途 
类 型 。 创 建 了 命名 ACL 以 后 ， 如 果 再 次 进入 某 个 命名 ACL 的 配置 视图 ， 则 不 需要 再 指定 
ACL 规则 的 用 途 类 型 了 , 直接 指定 名 字 就 可 以 进入 相应 的 配置 视图 。 已 经 创建 的 命名 ACL 
的 用 途 类 型 是 不 能 更 改 的 。 

创建 了 一 个 ACL， 进 入 了 ACL 视图 之 后 ， 就 可 以 配置 ACL 的 规则 了 。 对 于 不 同 的 
ACL， 其 规则 是 不 一 样 的 ， 具 体 的 各 种 ACL 的 规则 的 配置 方法 将 在 后 面 分 别 介绍 。 


1. 基本 访问 控制 列表 的 创建 


基本 访问 控制 列表 只 能 使 用 源 地 址 信息 ， 作 为 定义 访问 控制 列表 的 规则 的 元 素 。 通 过 
上 面 小 节 介 绍 的 acl 的 命令 ， 可 以 创建 一 个 基本 的 访问 控制 列表 ， 同 时 进入 基本 访问 控制 
列表 视图 ， 在 基本 访问 控制 列表 视图 下 ， 可 以 创建 基本 访问 控制 列表 的 规则 。 

可 以 使 用 如 下 的 命令 定义 一 个 基本 访问 控制 列表 的 规则 : 

rule [ rule-id ] { permit | deny } [ source sour-addr sour-wildcard | any ] [ time-range 
time-name ] [ logging ] [ fragment ] [ vpn-instance vpn-instance-name ] 

参数 说 明 如 下 。 
rule-id: 可 选 参数 ，ACL 规则 编号 ， 范 围 为 0 一 127。 当 指定 了 编号 ， 如 果 与 编号 对 
应 的 ACL 规则 已 经 存在 ， 则 会 使 用 新 定义 的 规则 覆盖 旧 的 定义 ， 相 当 于 编辑 一 个 
已 经 存在 的 ACL 的 规则 。 如 果 与 编号 对 应 的 ACL 规则 不 存在 ， 则 使 用 指定 的 编 
号 创建 一 个 新 的 规则 。 如 果 不 指定 编号 ， 表 示 增 加 一 个 新 规则 ， 系 统 自动 会 为 这 个 
ACL 规则 分 配 一 个 编号 ， 并 增加 新 规则 。 
permit: 通过 符合 条 件 的 数据 包 。 
deny: 丢弃 符合 条 件 的 数据 包 。 
source: 可 选 参数 ， 指 定 ACL 规则 的 源 地 址 信息 。 如 果 不 指定 ， 表 示 报 文 的 任何 源 
地 址 都 匹配 。 
sour-addr: 数据 包 的 源 地址 ， 点 分 十 进 制 表示 。 或 用 any 代表 源 地 址 0.0.0.0， 通 配 
符 255.255.255.255。 
sour-wildcard: 源 地 址 通配符 ， 点 分 十 进 制 表 示 。 
time-range: 可 选 参数 ， 指 定 访问 控制 列表 的 生效 时 间 。 
time-name: 访问 控制 列表 生效 的 时 间 段 名 字 。 
logging: 可 选 参数 ， 是 否 对 符合 条 件 的 数据 包 做 日 志 。 日 志 内 容 包括 访问 控制 规则 
的 序号 ， 数 据 包 通过 或 被 丢弃 ， 数 据 包 的 数目 。 
fragment: 可 选 参数 ， 指 定 该 规则 是 否 仅 对 非 首 片 分 片 报 文 有 效 。 当 包含 此 参数 时 
表示 该 规则 仅 对 非 首 片 分 片 报 文 有 效 。 
vpn-instance: 可 选 参数 ， 指 定 报 文 是 属于 哪个 VPN 实例 的 。 如 果 没 有 指定 ， 该 规 
则 对 所 有 VPN 实例 中 的 报 文 都 有 效 ， 如 果 指 定 了 ， 则 表示 该 规则 仅仅 对 指定 的 
VPN 实例 中 的 报 文 有 效 。 

对 已 经 存在 的 ACL 规则 ， 如 果 采 用 指定 ACL 规则 编号 的 方式 进行 编辑 ， 没 有 配置 
的 部 分 是 不 受 影响 的 。 例 如 : 

先 配置 了 一 个 ACL 规则 。 


rule 1 deny source 1.1.1.10 

然后 再 对 这 个 ACL 规则 进行 编辑 。 

rule 1 deny logging 

这 个 时 候 ，ACL 的 规则 变 成 如 下 。 

rule 1 deny source 1.1.1.1 0 logging 

可 以 使 用 如 下 命令 删除 一 个 基本 访问 控制 列表 的 规则 。 

undo rule rule-id [ source ] [ time-range ] [ logging ] [ fragment ] [ vpn-instance 
vpn-instanc-name ] 

参数 说 明 如 下 。 

。 rule-id: ACL 规则 编号 ， 必 须 是 一 个 已 经 存在 的 ACL 规则 编号 。 如 果 后 面 不 指定 
参数 ， 则 将 这 个 ACL 规则 完全 删除 。 否 则 只 是 删除 对 应 ACL 规则 的 部 分 信息 。 
source: 可 选 参数 ， 仅 仅 删除 编号 对 应 的 ACL 规则 的 源 地 址 部 分 的 信息 设置 。 
time-range: 可 选 参数 ， 仅 仅 删除 编号 对 应 的 ACL 规则 在 规定 时 间 生 效 的 设置 。 
logging: 可 选 参数 ， 仅 仅 删除 编号 对 应 的 ACL 规则 对 符合 条 件 的 数据 包 做 日 志 


设置 。 
。 fragment: 可 选 参数 ， 仅 仅 删除 编号 对 应 的 ACL 规则 仅 对 非 首 片 分 片 报 文 有 效 的 


。 vpn-instance: 可 选 参数 ， 仅 仅 删 除 编号 对 应 的 ACL 规则 中 关于 VPN 实例 的 设置 。 
2.， 高 级 访问 控制 列表 的 创建 


高 级 访问 控制 列表 可 以 使 用 数据 包 的 源 地 址 信息 、 目的 地 址 信息 、IP 承载 的 协议 类 型 、 
针对 协议 的 特性 ， 例 如 TCP 的 源 端口 、 目 的 端口 ，ICMP 协议 的 类 型 、code 等 内 容 定义 规 
则 。 可 以 利用 高 级 访问 控制 列表 定义 比 基 本 访问 控制 列表 更 准确 、 更 丰富 、 更 灵活 的 规则 。 

通过 前 面 小 节 介绍 的 acl 的 命令 ， 可 以 创建 一 个 高 级 的 访问 控制 列表 ， 同 时 进入 高 级 
访问 控制 列表 视图 ， 在 高 级 访问 控制 列表 视图 下 ， 可 以 创建 高 级 访问 控制 列表 的 规则 。 可 
以 使 用 如 下 的 命令 定义 一 个 高 级 访问 控制 列表 规则 : 

rule [ rule-id ] { permit | deny } protocol [ source sour-addr sour-wildcard | any ] 
[ destination dest-addr dest-mask | any ] [ soucre-port operator portl [ port2 ] ] [ destination-port 
operator portl [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence precedence ] [ tos tos ] 
[time-range time-name ] [ logging ] [ fragment ] [ vpn-instance vpn-instance-name ] 

参数 说 明 如 下 。 

。 rule-id: 可 选 参数 ，ACL 规则 编号 ,范围 为 0 一 127。 当 指定 了 编号 ， 如 果 与 编号 对 
应 的 ACL 规则 已 经 存在 ， 则 会 使 用 新 定义 的 规则 覆盖 旧 的 定义 ， 相 当 于 编辑 一 个 
已 经 存在 的 ACL 的 规则 。 如 果 与 编号 对 应 的 ACL 规则 不 存在 ， 则 使 用 指定 的 编号 
创建 一 个 新 的 规则 。 如 果 不 指定 编号 , 表示 增加 一 个 新 规则 , 系统 会 自动 为 这 个 ACL 
规则 分 配 一 个 编号 。 

。 deny: 拒绝 符合 条 件 的 数据 包 。 

。 permit: 人 允许 符合 条 件 的 数据 包 。 

。 protocol: 用 名 字 或 数字 表示 的 IP 承载 的 协议 类 型 。 数 字 范 围 为 0 一 255; 名 字 取 值 
范围 为 gre、icmp、igmp、ip、ipinip、ospf、tcp 和 udp。 
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source: 可 选 参数 ， 指 定 ACL 规则 的 源 地 址 信息 。 如 果 不 配 置 ， 表 示 报 文 的 任何 源 
地 址 都 匹配 。 

sour-addr: 数据 包 的 源 地 址 ， 点 分 十 进 制 表示 ; 或 用 any 代表 源 地 址 0.0.0.0， 通 配 
符 255.255.255.255。 

sour-wildcard: 源 地 址 通配符 ， 点 分 十 进 制 表示 。 

destination: 可 选 参数 ， 指 定 ACL 规则 的 目的 地 址 信息 。 如 果 不 配 置 ， 表 示 报 文 的 
任何 目的 地 址 都 匹配 。 

dest-addr: 数据 包 的 目的 地 址 ， 点 分 十 进 制 表 示 ; 或 用 any 代表 目的 地 址 0.0.0.0， 

通配符 255.255.255.255。 

dest-wildcard: 目的 地 址 通配符 ， 点 分 十 进 制 表 示 :; 或 用 any 代表 目的 地 址 0.0.0.0， 
通配符 255.255.255.255。 

icmp-type: 可 选 参数 ， 指 定 ICMP 报 文 的 类 型 和 消息 码 信息 ， 仅 仅 在 报 文 协议 是 
ICMP 的 情况 下 有 效 。 如 果 不 配 置 ， 表 示 任 何 ICMP 类 型 的 报 文 都 匹配 。 

icmp-type: ICMP 包 可 以 依据 ICMP 的 消息 类 型 进行 过 滤 。 取 值 为 0 一 255 的 数字 。 
icmp-code: 依据 ICMP 的 消息 类 型 进行 过 滤 的 ICMP 包 也 可 以 依据 消息 码 进 行 过 滤 。 
取 值 为 0 一 255 的 数字 。 

icmp-message: ICMP 包 可 以 依据 ICMP 消息 类 型 名 字 或 ICMP 消息 类 型 和 码 的 名 字 
进行 过 滤 。 

soure-port: 可 选 参数 ， 指 定 UDP 或 者 TCP 报 文 的 源 端口 信息 ， 仅 仅 在 规则 指定 的 
协议 号 是 TCP 或 者 UDP 有效。 如果 不 指定 , 表示 TCP/UDP 报 文 的 任何 源 端口 信息 
都 匹配 。 

destination-port: 可 选 参数 ， 指 定 UDP 或 者 TCP 报 文 的 目的 端口 信息 ， 仅 仅 在 规则 
指定 的 协议 号 是 TCP 或 者 UDP 有 效 。 如 果 不 指定 ， 表 示 TCP/UDP 报 文 的 任何 目 
的 端口 信息 都 匹配 。 

operator: 可 选 参数 。 比 较 源 或 者 目的 地 址 的 端口 号 的 操作 符 ， 名 字 及 意义 为 1t (小 
于 )、gt (大于)、eq〈 等 于 )、neq (不 等 于 ) 和 range (在 范围 内 )。 只 有 range 需 
要 两 个 端口 号 做 操作 数 ， 其 他 的 只 澳 要 一 个 端口 号 做 操作 数 。 

port1，port2: 可 选 参数 。TCP 或 UDP 的 端口 号 ， 用 名 字 或 数字 表示 ， 数 字 的 取 值 
范围 为 0 一 65535 。 

precedence: 可 选 参数 ， 数 据 包 可 以 依据 优先 级 字段 进行 过 滤 。 取 值 为 0 一 7 的 数字 ， 
或 名 字 。 

tos: 可 选 参数 ， 数 据 包 可 以 依据 服务 类 型 字段 进行 过 滤 。 取 值 为 0 一 15 的 数字 , 或 
名 字 。 

logging: 可 选 参数 ， 是 否 对 符合 条 件 的 数据 包 做 日 志 。 日 志 内 容 包括 访问 控制 列表 
规则 的 序号 ， 数 据 包 通 过 或 被 丢弃 ，IP 承载 的 上 层 协议 类 型 ， 源 /目的 地 址 ， 源 / 目 
的 端口 号 ， 数 据 包 的 数目 。 

time-name: 这 条 访问 控制 列表 规则 在 该 时 间 段 内 有 效 。 

fragment: 指定 该 规则 是 否 仅 对 非 首 片 分 片 报 文 有 效 。 当 包含 此 参数 时 表示 该 规则 
仅 对 非 首 片 分 片 报 文 有 效 。 


。 vpn-instance: 可 选 参数 ， 指 定 报 文 是 属于 哪个 VPN 实例 的 。 如 果 没有 指定 ， 该 规 
则 对 所 有 VPN 实例 中 的 报 文 都 有 效 ; 如 果 指 定 了 ， 则 表示 该 规则 仅仅 对 指定 的 
VPN 实例 中 的 报 文 有 效 。 
这 样 ， 用 户 通 过 配置 防火 墙 ， 添 加 适当 的 访问 规则 ， 就 可 以 利用 包 过 滤 来 对 通过 路 由 
器 的 瑟 包 进行 检查 ， 从 而 过 滤 掉 用 户 不 希望 通过 路 由 器 的 包 ， 起 到 保护 网 络 安全 的 作用 。 


3. 基于 接口 的 访问 控制 列表 的 创建 


基于 接口 的 访问 控制 列表 ， 是 一 种 特殊 的 访问 控制 列表 ， 可 以 根据 接收 报 文 的 接口 指 
定 规则 。 通 过 前 面 小 节 介绍 的 acl 的 命令 ， 可 以 创建 一 个 基于 接口 的 访问 控制 列表 ， 同 时 
进入 基于 接口 的 访问 控制 列表 视图 ， 在 基于 接口 的 访问 控制 列表 视图 下 ， 可 以 创建 基于 接 
口 的 访问 控制 列表 规则 。 

可 以 使 用 如 下 的 命令 定义 一 个 基于 接口 的 访问 控制 列表 规则 : 

rule { permit | deny } [ interface interface-name ] [ time-range time-name ] [ logging ] 

参数 说 明 如 下 。 
rule-id: 可 选 参数 ，ACL 规则 编号 ， 范 围 为 0 一 127。 当 指定 了 编号 ， 如 果 与 编号 对 
应 的 ACL 规则 已 经 存在 ， 则 会 使 用 新 定义 的 规则 覆盖 旧 的 定义 ， 相 当 于 编辑 一 个 
已 经 存在 的 ACL 的 规则 。 如 果 与 编号 对 应 的 ACL 规则 不 存在 ， 则 使 用 指定 的 编号 
创建 一 个 新 的 规则 。 如 果 不 指定 编号 , 表示 增加 一 个 新 规则 , 系统 自动 会 为 这 个 ACL 
规则 分 配 一 个 编号 ， 并 增加 新 规则 。 
deny: 丢弃 符合 条 件 的 数据 包 。 
permit: 通过 符合 条 件 的 数据 包 。 
interface: 可 选 参数 ， 指 定数 据 包 的 接口 信息 。 如 果 不 指 定 ， 表 示 所 有 的 接口 都 
匹配 。 
interface-name: 指定 数据 包 进 入 的 接口 名 。 或 者 用 any 代表 所 有 的 接口 。 
logging: 可 选 参数 ， 是 否 对 符合 条 件 的 数据 包 做 日 志 。 日 志 内 容 包括 访问 控制 列表 
规则 的 序号 ， 数 据 包 通过 或 被 丢弃 ， 数 据 包 的 数目 。 
time-range: 可 选 参数 ， 指 定 规则 在 一 定时 间 段 内 有 效 。 

。 time-name: 这 条 访问 控制 列表 规则 在 该 时 间 段 内 有 效 。 
可 以 使 用 如 下 的 命令 删除 一 个 基于 接口 的 访问 控制 列表 的 规则 : 
undo rule rule-id 


参数 说 明 : rule-id 为 ACL 规则 编号 ， 必 须 是 一 个 已 经 存在 的 ACL 规则 编号 。 
4. ACL 对 分 片 报 文 的 支持 


传统 的 包 过 滤 并 不 处 理 所 有 下 报 文 分 片 ， 而 是 只 对 第 一 个 〈 首 片 ) 分 片 报 文 进行 匹配 
处 理 ， 后 续 分 片 一 律 放行 。 这 样 ， 网 络 攻击 者 可 能 构造 后 续 的 分 片 报 文 进行 流量 攻击 ， 就 
带 来 了 安全 隐患 。 

VRP 平台 的 包 过 滤 提 供 了 对 分 片 报 文 过 滤 的 功能 ， 包 括 : 对 所 有 的 分 片 报 文 进行 三 层 
(IP 层 ) 的 匹配 过 滤 ; 同时 ， 对 于 包含 扩展 信息 的 ACL 规则 项 (例如 包含 TCP/UDP 端口 
号 ，ICMP 类 型 )， 提 供 标 准 匹 配 和 精确 匹配 两 种 匹配 方式 。 标 准 匹配 即 三 层 信息 的 匹配 ， 
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匹配 将 忽略 三 层 以 外 的 信息 ; 精确 匹配 则 对 所 有 的 ACL 项 条 件 进行 匹配 ， 这 就 要 求 防火 
墙 必须 记录 首 片 分 片 报 文 的 状态 以 获得 完整 的 后 续 分 片 的 匹配 信息 。 默 认 的 功能 方式 为 标 
准 匹配 方式 。 

在 ACL 的 规则 配置 项 中 ， 通 过 关键 字 fragment 来 标识 该 ACL 规则 仅 对 非 首 片 分 片 
报 文 有 效 ， 而 对 非 分 片 报 文 和 首 片 分 片 报 文 则 忽略 此 规则 。 而 不 包含 此 关键 字 的 配置 规则 
项 对 所 有 报 文 均 有 效 。 

例如 : 

[Quidway-basic-1] rule deny source 202.101.1.0 0.0.0.255 fragment 

[Quidway-basic-1] rule permit source 202.101.2.0 0.0.0.255 

[Quidway-adv-101] rule permit ip destination 171.16.23.1 0 fragment 

[Quidway-adv-101] rule deny ip destionation 171.16.23.2 0 

上 述 规则 项 中 ， 所 有 项 对 非 首 片 分 片 报 文 均 有 效 ; 第 一 ， 三 项 对 非 分 片 和 首 片 分 片 报 
文 是 被 忽略 的 ， 仅 仅 对 非 首 片 分 片 报 文 有 效 。 


6.3.3 ”访问 控制 列表 配置 举例 


某 公司 通过 一 台 Quidway 路 由 器 的 接口 Seriall /0/0 访问 Internet， 路 由 器 与 内 部 网 通 
过 以 太 网 接口 EthemetO/0/0 连接 。 公 司 内 部 对 外 提供 WWW. FTP 和 Telnet 服务 , 公司 内 部 
子 网 为 129.38.1.0。 其 中 ， 内 部 FTP 服务 器 地 址 为 129.38.1.1， 内 部 Telnet 服务 器 地 址 为 
129.38.1.2， 内 部 WWW 服务 器 地 址 为 129.38.1.3， 公 司 对 外 地 址 为 202.38.160.1 在 路 由 器 
上 配置 了 地 址 转换 ， 这 样 内 部 PC 可 以 访问 Internet， 外 部 PC 可 以 访问 内 部 服务 器 。 通 过 
配置 路 由 器 的 防火 墙 功 能 ， 希 望 实现 以 下 要 求 : 

。 外 部 网 络 只 有 特定 用 户 地 址 可 以 访问 内 部 服务 器 。 

。 内 部 网 络 只 有 特定 主机 可 以 访问 外 部 网 络 。 

假定 外 部 特定 用 户 的 人 P 地 址 为 202.39.2.3。 


1. 组 网 图 
包 过 滤 防 火 墙 (路 由 器 ) 访问 控制 列表 配置 案例 组 网 图 如 图 6-7 所 示 。 
2. 配置 步骤 


# 在 路 由 器 Q 上 人 允许 防火 墙 

[Q] firewall enable 

# 设 防火 墙 默认 过 滤 方 式 为 允许 包 通 过 

[Q]firewall default permit 

# 创 建 访 问 控制 列表 1010 

[Q] acl number 101 

# 配 置 规则 禁止 所 有 IP 包 通 过 

[Q-acl-adv-101] rule deny ip 

# 配 置 规则 允许 特定 主机 访问 外 部 网 ， 允 许 内 部 服务 器 访问 外 部 网 
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[Q-acl-adv-101] rule permi ip source 129.38.1.40 

[Q-acl-adv-101] rule permi ip source 129.38.1.1 0 

[Q-acl-adv-101] rule permi ip source 129.38.1.20 

[Q-acl-adv-101] rule permi ip source 129.38.1.3 0 

# 创 建 访问 控制 列表 102 

[Q] acl number 102 

# 配 置 规则 允许 特定 用 户 从 外 部 网 访问 内 部 服务 器 

[Q-acl-adv-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0 

# 配 置 规则 允许 特定 用 户 从 外 部 网 取得 数据 (只 允许 端口 大 于 1024 的 包 ) 

[Q-acl-adv-102] rule permit tcp destination 202.38.160.10 0 destination-port gt 
1024 

# 将 规则 101 作用 于 从 接口 Ethemet0/0/0 进入 的 包 

[Q-Ethernet0/0/0]firewall packet-filter 101 inbound 

# 将 规则 102 作用 于 从 接口 Seriall /0/0 进入 的 包 

[Q-Serial1/0/0 ]]firewall packet-filter 102 inbound 


6.4 IPSec 与 IKE 技术 与 配置 


在 本 小 节 中 主要 介绍 IPSec 和 IKE 协议 及 这 两 个 协议 的 配置 与 调试 ,最 后 给 出 了 IPSec 
的 典型 配置 案例 。 


6.4.1 IPSec 概述 


IPSec (IP Security ) 协议 族 是 IETF 制定 的 一 系列 协议 ， 它 为 卫 数据 报 提供 了 高 质量 
的 、 可 互 操作 的 、 基 于 密码 学 的 安全 性 。 特 定 的 通信 方 之 问 在 人 P 层 通过 加 密 与 数据 源 验 证 
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等 方式 ， 来 保证 数据 报 在 网 络 上 传输 时 的 私有 性 、 完 整 性 、 真 实 性 和 防 重 放 。 

。 私有 性 〈confidentiality ): 指 对 用 户 数据 进行 加 密 保护 ， 用 密 文 的 形式 传送 。 

。 完整 性 (Data Integrity): 指 对 接收 的 数据 进行 验证 ， 以 判定 报 文 是 否 被 算 改 。 

。 真实 性 (Data Authentication ): 指 验证 数据 源 ， 以 保证 数据 来 自 真实 的 发 送 者 。 

。 防 重 放 (Anti-replay): 指 防止 恶意 用 户 通过 重复 发 送 捕获 到 的 数据 包 所 进行 的 攻击 ， 

即 接收 方 会 拒绝 旧 的 或 重复 的 数据 包 。 

IPSec 通过 AHCAuthentication Header, 认证 头 ) 和 ESP(Encapsulating Security Payload， 
封装 安全 载荷 ) 安全 协议 来 实现 上 述 目标 。 并 且 还 可 以 通过 IKE (Internet Key Exchange， 
因特网 密 钥 交换 协议 ) 为 IPSec 提供 自动 协商 交换 密 铀 、 建 立 和 维护 安全 联盟 的 服务 ， 以 
简化 IPSec 的 使 用 和 管理 。 

AH 是 报 文 头 验证 协议 ， 主 要 提供 的 功能 有 数据 源 验证 、 数 据 完整 性 校 验 和 防 报 文 重 
放 功 能 ， 然 而 ，AH 并 不 加 密 所 保护 的 数据 报 。 

ESP 是 封装 安全 载荷 协议 ， 它 除 提供 AH 协议 的 所 有 功能 之 外 数据 完整 性 校 验 不 包 
括 耳 头 )， 还 可 提供 对 了 报 文 的 加 密 功能 。 

AH 和 ESP 可 以 单独 使 用 ， 也 可 以 同时 使 用 。 对 于 AH 和 ESP， 都 有 两 种 操作 模式 : 
传输 模式 和 隧道 模式 。 

IKE 用 于 协商 AH 和 ESP 所 使 用 的 密码 算法 , 并 将 算法 所 需 的 必 备 密 钥 放 到 恰当 位 置 。 
IKE 协商 并 不 是 必须 的 ，IPSec 所 使 用 的 策略 和 算法 等 也 可 以 手工 协商 。 


6.4.2 IPSec 与 IKE 协议 基本 概念 


1. 安全 联盟 


IPSec 在 两 个 端点 之 问 提供 安全 通信 , 端点 被 称 为 IPSec 对 等 体 。 IPSec 能 够 允许 系统 、 
网 络 的 用 户 或 管理 员 控 制 对 等 体 间 安全 服务 的 粒度 。 例 如 ， 某 个 组 织 的 安全 策略 可 能 规定 
来 自 特 定子 网 的 数据 流 应 同时 使 用 AH 和 ESP 进行 保护 ， 并 使 用 3DES (Triple Data 
Encryption Standard， 三 重 数据 加 密 标准 ) 进行 加 密 ; 另 一 方面 ， 策 略 可 能 规定 来 自 另 一 个 
站 点 的 数据 流 只 使 用 ESP 保护 ， 并 仅 使 用 DES 加 密 。 通 过 SA 〈Security Association， 安 全 
联盟 )，IPSec 能 够 对 不 同 的 数据 流 提供 不 同 级 别 的 安全 保护 。 

安全 联盟 是 IPSec 的 基础 , 也 是 IPSec 的 本 质 。SA 是 通信 对 等 体 间 对 某 些 要 素 的 约定 ， 
例如 ， 使 用 哪 种 协议 (是 AH 或 ESP 还 是 两 者 结合 使 用 )、 协 议 的 操作 模式 (传输 模式 和 
隧道 模式 )、 密 码 算法 (DES 和 “3DES)、 特 定 流 中 保护 数据 的 共享 密 钥 以 及 密 钥 的 生存 周 
期 等 。 安 全 联盟 是 单 向 的 ， 在 两 个 对 等 体 之 间 的 双向 通信 ， 最 少 需 要 两 个 安全 联盟 来 分 别 
对 两 个 方向 的 数据 流 进行 安全 保护 。 同 时 ， 如 果 希 望 同 时 使 用 AH 和 ESP 来 保护 对 等 体 间 
的 数据 流 ， 则 分 别 需要 两 个 SA， 一 个 用 于 AH， 另 一 个 用 于 ESP。 

安全 联盟 由 一 个 三 元 组 来 唯一 标识 ， 这 个 三 元 组 包括 SPI (Security Parameter Index， 
安全 参数 索引 )、 目 的 卫 地 址 、 安 全 协议 号 (AH 或 ESP)。SPI 是 为 唯一 标识 SA 而 生成 
的 一 个 32 比特 的 数值 ， 它 在 AH 和 ESP 头 中 传输 。 

安全 联盟 具有 生存 周期 。 生 存 周 期 的 计算 包括 两 种 方式 : 


。 以 时 间 为 限制 : 每 隔 指定 长 度 的 时 间 就 进行 更 新 。 
。 以 流量 为 限制 : 每 传输 指定 的 数据 量 〈 字 节 ) 就 进行 更 新 。 


2. IPSec 协议 的 操作 模式 


IPSec 协议 有 两 种 操作 模式 : 传输 模式 和 隧道 模式 。SA 中 指定 了 协议 的 操作 模式 。 

在 传输 模式 下 ，AH 或 ESP 被 插入 到 IP 头 之 后 但 在 所 有 传输 层 协议 之 前 ， 或 所 有 其 
他 IPSec 协议 之 前 。 在 隧道 模式 下 ，AH 或 ESP 插 在 原始 IP 头 之 前 ， 另 外 生成 一 个 新 头 
放 到 AH 或 ESP 之 前 。 不 同安 全 协议 在 传输 模式 和 隧道 模式 下 的 数据 封装 形式 (传输 协 
议 以 TCP 为 例 ) 如 图 6-8 所 示 。 


模式 transport | tunnel 
协议 
a || la | el ele | 
i fe EE a Es i ed Be eR 人 Be dt | Rd 
AH-ESE| Be | a de | Ne | De A [Esp el 区 i I 
图 6-8 


从 安全 性 来 讲 ， 隧 道 模 式 优 于 传输 模式 。 它 可 以 完全 地 对 原始 IP 数据 报 进行 验证 和 
加 密 ， 此 外 ， 可 以 使 用 IPSec 对 等 体 的 IP 地 址 来 隐藏 客户 机 的 IP 地 址 。 从 性 能 来 讲 ， 隧 
道 模式 比 传输 模式 占用 更 多 带宽 ， 因 为 它 有 一 个 额外 的 IP 头 。 因 此 ， 到 底 使 用 哪 种 模式 
需要 在 安全 性 和 性 能 间 进 行 权 衡 。 

3. 验证 算法 与 加 密 算法 

1) 验证 算法 

AH 和 ESP 都 能 够 对 IP 报 文 的 完整 性 进行 验证 ， 以 判别 报 文 在 传输 过 程 中 是 否 被 和 贷 
改 。 验 证 算法 的 实现 主要 是 通过 杂凑 函数 ， 杂 凑 国 数 是 一 种 能 够 接受 任意 长 的 消息 输入 ， 
并 产生 固定 长 度 输出 的 算法 ， 该 输出 称 为 消息 摘要 。IPSec 对 等 体 计算 摘要 ， 如 果 两 个 摘 
要 是 相同 的 ， 则 表示 报 文 是 完整 未 经 算 改 的 。 一 般 来 说 IPSec 使 用 两 种 验证 算法 。 

。 MD5: 通过 输入 任意 长 度 的 消息 ， 产 生 128bit 的 消息 摘要 。 

。 SHA-1: 通过 输入 长 度 小 于 2%b 的 消息 ， 产 生 160b 的 消息 摘要 。SHA-1 的 摘要 长 

于 MD5， 因 而 是 更 安全 的 。 

2) 加 密 算法 

ESP 能 够 对 IP 报 文 内 容 进行 加 密 保护 ， 防 止 报 文 内 容 在 传输 过 程 中 被 窥探 。 加 密 算 
法 实现 主要 通过 对 称 密 钥 系统 ， 它 使 用 相同 的 密 钥 对 数据 进行 加 密 和 解密 。VRP 中 IPSec 
实现 三 种 加 密 算法 。 

。 DES (Data Encryption Standard): 使 用 56b 的 密 钥 对 一 个 64b 的 明文 块 进行 加 密 。 
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。 3DES (Triple DES): 使 用 三 个 56b 的 DES 密 钥 ( 共 168b 密 钥 ) 对 明文 进行 加 密 。 
。 AES (Advanced Encryption Standard): VRP 实现 了 128b 密 钥 长 度 的 AES 算法 ， 这 
也 是 IETF 标准 要 求实 现 的 。 


4. 协商 方式 


有 两 种 协商 方式 建立 安全 联盟 ， 一 种 是 手工 方式 (manual)， 一 种 是 IKE 自动 协商 
(isakmp ) 方式 。 前 者 配置 比较 复杂 ， 创 建安 全 联盟 所 需 的 全 部 信息 都 必须 手工 配置 ， 而 且 
IPSec 的 一 些 高 级 特性 〈 例 如 定时 更 新 密 钥 ) 不 被 支持 ， 但 优点 是 可 以 不 依赖 IKE 而 单独 
实现 IPSec 功能 。 而 后 者 则 相对 比较 简单 , 只 需要 配置 好 IKE 协商 安全 策略 的 信息 , 由 IKE 
自动 协商 来 创建 和 维护 安全 联盟 。 当 与 之 进行 通信 的 对 等 体 设 备 数量 较 少时 ， 或 是 在 不 动 
静态 环境 中 , 手工 配置 安全 联盟 是 可 行 的 。 对 于 中 、 大 型 的 动态 网 络 环境 中 , 推荐 使 用 IKE 
协商 建立 安全 联盟 。 

在 实施 IPSec 的 过 程 中 ， 可 以 使 用 因特网 密 钥 交换 IKE (Intemet Key Exchange) 协议 
来 建立 安全 联盟 ， 该 协议 建立 在 由 Internet 安全 联盟 和 密 钥 管理 协议 ISAKMP (Internet 
Security Association and Key Management Protocol) 定义 的 框架 上 。IKE 为 IPSec 提供 了 自 
动 协商 交换 密 钥 、 建 立 安全 联盟 的 服务 ， 能 够 简化 IPSec 的 使 用 和 管理 。 

如 前 所 述 ， 网 络 安 全 包括 两 层 含义 :其 一 是 内 部 网 的 安全 ， 其 二 是 在 公共 网 络 中 进行 
数据 交换 的 安全 。 实现 前 者 的 手段 有 防火 墙 、 地 址 转换 (NAT) 等 。 后 者 如 正在 兴起 的 IPSec 
(IP Security)，IPSec 提供 了 在 IP 层 对 报 文 实施 加 密 的 保护 手段 。IPSec 的 安全 联盟 可 以 通 
过 手工 配置 的 方式 建立 ， 但 是 当 网 络 中 结 点 增多 时 ， 手 工 配置 将 非常 困难 ， 而 且 难 以 保证 
安全 性 。 这 时 就 要 使 用 IKE 自动 地 进行 安全 联盟 建立 与 密 钥 交 换 的 过 程 。IKE 具有 一 套 自 
保护 机 制 ， 可 以 在 不 安全 的 网 络 上 安全 地 分 发 密 钥 、 验 证 身份 、IPSec 安全 联盟 。 

IKE 的 安全 机 制 包 括 : 

。 DH (Diffie-Hellman) 交换 及 密 钥 分 发 :该 算法 是 一 种 公共 密 钥 算 法 。 通 信 双 方 在 
不 传送 密 钥 的 情况 下 通过 交换 一 些 数据 ， 计 算出 共享 的 密 钥 。 加 密 的 前 提 是 交换 加 
密 数 据 的 双方 必须 要 有 共享 的 密 钥 。IKE 的 精髓 在 于 它 永 远 不 在 不 安全 的 网 络 上 直 
接 传送 密 钥 ， 而 是 通过 一 系列 数据 的 交换 ， 最 终 计 算出 双方 共享 的 密 钥 。 即 使 第 三 
者 (如 黑客 ) 截获 了 双方 用 于 计算 密 钥 的 所 有 交换 数据 ， 也 不 足以 计算 出 真正 的 
密 钥 。 
完善 的 前 向 安全 性 (Perfect Forward Secrecy，PFS): PFS 特性 是 一 种 安全 特性 ， 指 
一 个 密 钥 被 破解 ， 并 不 影响 其 他 密 钥 的 安全 性 ， 因 为 这 些 密 钥 间 没 有 派生 关系 。 对 
于 IPsec， 是 通过 在 IKE 第 二 阶段 协商 中 增加 一 次 密 钥 交换 并 由 DH 算法 保障 的 。 
身份 验证 : 身份 验证 确认 通信 双方 的 身份 。 对 于 pre-shared key 验证 方法 ,验证 字 用 
来 作为 一 个 输入 产生 密 钥 ， 验 证 字 不 同 是 不 可 能 在 双方 产生 相同 的 密 钥 的 。 验 证 字 
是 验证 双方 身份 的 关键 。 

身份 保护 ， 身 份 数据 在 密 钥 产生 之 后 加 密 传送 ， 实 现 了 对 身份 数据 的 保护 。IKE 使 用 
了 两 个 阶段 为 IPSec 进行 密 钥 协商 并 建立 安全 联盟 : 第 一 阶段 ， 通 信 各 方 彼此 间 建 立 了 一 
个 已 通过 身份 验证 和 安全 保护 的 通道 ， 此 阶段 的 交换 建立 了 一 个 ISAKMP 安全 联盟 ， 即 
ISAKMP SA; 第 二 阶段 ,用 在 第 一 阶段 建立 的 安全 通道 为 IPSec 协商 安全 服务 , 即 为 IPSec 


协商 具体 的 安全 联盟 ， 建 立 IPSec SA，IPSec SA 用 于 最 终 的 卫 数据 安全 传送 。 
从 图 6-9 中 可 以 看 出 IKE 和 IPSec 的 关系 。 


Router A Router B 


图 6-9 


另外 ， 为 了 使 IKE 支持 目前 广泛 应 用 的 通过 ADSL 及 拨号 方式 构建 VPN 的 方案 中 
的 特殊 情况 一 一 局 端 设 备 的 IP 地 址 为 固定 分 配 的 , 用 户 端 设备 的 IP 地 址 为 动态 获取 的 情 
况 ， 在 IKE 阶段 的 协商 模式 中 增加 了 IKE 野蛮 模式 ， 它 可 以 选择 根据 协商 发 起 端的 IP 
地 址 或 者 ID 来 查找 对 应 的 身份 验证 字 ， 并 最 终 完成 协商 。IKE 野蛮 模式 相对 于 主 模式 来 
说 更 加 灵活 ， 能 够 支持 协商 发 起 端 为 动态 IP 地 址 的 情况 。 

在 IPSec/IKE 组 建 的 VPN 隧道 中 , 若 存 在 NAT 网 关 设 备 , 上 且 NAT 网 关 设 备 对 VPN 
业务 数据 流 进行 了 NAT 转换 的 话 , 则 必须 配置 IPSec/IKE 的 NAT 穿越 功能 。 该 功能 删 去 
了 IKE 协商 过 程 中 对 端 UDP 端口 号 的 验证 过 程 ， 同 时 实现 了 对 VPN 隧道 中 NAT 网 关 
设备 的 发 现 功能 ， 即 如 果 发 现 NAT 网 关 设 备 ， 则 将 在 之 后 的 IPSec 数据 传输 中 使 用 UDP 
封装 (即将 IPSec 报 文 封装 到 IKE 协商 所 使 用 的 UDP 连接 隧道 里 ) 的 方法 , 避免 了 NAT 
网 关 对 IPSec 报 文 进行 算 改 (NAT 网 关 设 备 将 只 能 够 修改 最 外 层 的 耻 和 UDP 报 文 头 ， 
对 UDP 报 文 封装 的 IPSec 报 文 将 不 作 修改 )， 从 而 保证 了 IPSec 报 文 的 完整 性 (IPSec 数 
据 加 密 解密 验证 过 程 中 要 求 报 文 原封 不 动 地 被 传送 到 接收 端 )。 


6.4.3 IPSec 在 VRP 上 的 配置 与 实现 方法 


IPSec 实现 方式 是 基于 下 列 思路 : 通过 IPSec， 对 等 体 之 间 (此 处 是 指 VRP 所 在 路 由 
器 及 其 对 端 ) 能 够 对 不 同 的 数据 流 实施 不 同 的 安全 保护 (验证 、 加 密 或 两 者 同时 使 用 )。 其 
中 数据 流 的 区 分 通过 配置 ACL 来 进行 ， 安 全 保护 所 用 到 的 安全 协议 、 验 证 算法 和 加 密 算 
法 、 操 作 模式 等 通过 配置 安全 提议 来 进行 ， 数 据 流 和 安全 提议 的 关联 〈 即 定义 对 何 种 数据 
流 实施 何 种 保护 )、SA 的 协商 方式 、 对 等 体 人 P 地 址 的 设置 〈 即 保护 路 径 的 起 /终点 )、 所 需 
要 的 密 钥 和 SA 的 生存 周期 等 通过 配置 安全 策略 来 进行 ， 最 后 在 路 由 器 接口 上 实施 安全 策 
略 即 完成 了 IPSec 的 配置 。 主 要 步骤 如 下 : 

1) 定义 被 保护 的 数据 流 
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数据 流 是 一 组 流量 (traffic) 的 集合 ， 由 源 地 址 / 掩 码 、 目 的 地 址 / 掩 码 、 了 P 报 文 承载 
的 协议 号 、 源 端口 号 和 目的 端口 号 等 来 规定 。 一 个 数据 流 用 一 个 ACL 来 定义 ， 所 有 匹配 一 
个 访问 控制 列表 规则 的 流量 ， 在 多 辑 上 作为 一 个 数据 流 。 一 个 数据 流 可 以 小 到 是 两 台 主 机 
之 间 单 一 的 TCP 连接 ; 也 可 以 大 到 是 两 个 子 网 之 间 所 有 的 流量 。IPSec 能 够 对 不 同 的 数据 
流 施加 不 同 的 安全 保护 ， 因 此 IPSec 配置 的 第 一 步 就 是 定义 数据 流 。 

2) 定义 安全 提议 

安全 提议 规定 了 对 要 保护 的 数据 流 所 采用 的 安全 协议 、 验 证 或 加 密 算法 、 操 作 模式 ( 即 
报 文 的 封装 方式 ) 等 。VRP 支持 的 AH 和 ESP 安全 协议 ,两 者 既 可 单独 使 用 ， 也 可 联合 使 
用 。 其 中 ，AH 支持 MD5 和 SHA-1 验证 算法 ;，ESP 协议 支持 MD5、SHA-1 验证 算法 和 
DES、3DES 加 密 算法 。 

VRP 支持 的 操作 模式 包括 传输 模式 和 隧道 模式 。 对 同一 数据 流 ， 对 等 体 两 端 必须 设置 
相同 的 协议 、 算 法 和 操作 模式 。 另 外 , 对 于 两 个 安全 网 关 ( 例 如 VRP 路 由 器 间 ) 实施 IPSec， 
建议 采用 隧道 模式 ， 以 隐藏 实际 通信 的 源 和 目的 IP 地址 。 因 此 ， 请 先 根据 需要 配置 好 一 个 
安全 提议 ， 以 便 下 一 步 将 数据 流 和 安全 提议 相关 联 。 

3) 定义 安全 策略 或 安全 策略 组 

安全 策略 规定 了 对 什么 样 的 数据 流 采 用 什么 样 的 安全 提议 。 一 条 安全 策略 由 “名 字 ” 
和 “顺序 号 ”共同 唯一 确定 。 安 全 策略 分 为 手工 安全 策略 和 IKE 协商 安全 策略 ， 前 者 需要 
用 户 手工 配置 密 钥 、SPI 和 SA 的 生存 周期 等 参数 , 在 隧道 模式 下 还 需要 手工 配置 安全 隧道 
两 个 端点 的 IP 地 址 ， 后 者 则 由 IKE 自动 协商 生成 这 些 参数 。 安 全 策略 组 是 所 有 有 共 有 相同 
名 字 、 不 同 顺序 号 的 安全 策略 的 集合 。 在 同一 个 安全 策略 组 中 ， 顺 序号 越 小 的 安全 策略 ， 
优先 级 越 高 。 

4) 接口 实施 安全 策略 

在 接口 上 应 用 安全 策略 组 ， 安 全 策略 组 中 的 所 有 安全 策略 同时 应 用 在 这 个 接口 上 ， 从 
而 实现 对 流 经 这 个 接口 的 不 同 的 数据 流 进行 不 同 的 安全 保护 。 

根据 上 面 的 介绍 ，IPSec 主要 配置 如 下 。 

(1) 配置 访问 控制 列表 。 

(2) 定义 安全 提议 ， 它 包括 创建 安全 提议 、 选 择 安全 协议 、 选 择 安全 算法 和 选择 报 文 
封装 形式 。 

(3) 创建 安全 策略 包括 手工 创建 安全 策略 和 用 IKE 创建 安全 策略 。 其 中 手工 创建 安全 
策略 包括 在 安全 策略 中 引用 安全 提议 、 在 安全 策略 中 引用 访问 控制 列表 、 配 置 隧道 的 起 点 
和 终点 、 配 置 安全 联盟 的 SPI、 配 置 安全 联盟 使 用 的 密 钥 。 用 IKE 创建 安全 策略 包括 在 安 
全 策略 中 引用 安全 提议 、 在 安全 策略 中 引用 访问 控制 列表 、 在 安全 策略 中 引用 区 E 对 等 体 、 
配置 安全 联盟 生存 周期 〈 可 选 ) 和 配置 协商 时 使 用 的 PFS 特性 。 

(4) 配置 安全 策略 模板 〈 可 选 )。 

(5) 在 接口 上 应 用 安全 策略 。 

下 面 介绍 具体 的 配置 过 程 。 


1 定义 访问 控制 列表 
用 于 IPSec 的 访问 控制 列表 的 作用 不 同 于 在 防火 墙 中 所 介绍 的 访问 控制 列表 。 一 般 的 


访问 控制 列表 是 用 来 决定 一 个 接口 上 哪些 数据 可 通过 ， 哪 些 要 被 拒绝 ， 而 IPSec 是 根据 访 
问 控制 列表 中 的 规则 来 确定 哪些 报 文 需要 安全 保护 ， 哪 些 报 文 不 需要 安全 保护 ， 故 用 于 
IPSec 的 访问 控制 列表 可 称 为 加 密 访问 控制 列表 。 加 密 访问 控制 列表 匹配 (permit) 的 报 文 
将 被 保护 ， 加 密 访 问 控制 列表 拒绝 (deny) 的 报 文 将 不 被 保护 。 加 密 访问 控制 列表 既 可 用 
于 加 密 入 口 数据 流 ， 也 可 用 于 加 密 出 口 数据 流 。 在 本 地 和 远 端 路 由 器 上 定义 的 加 密 访问 控 
制 列表 必须 是 相对 应 的 ( 即 互 为 镜像 )， 这 样 在 某 一 端 加 密 的 数据 才能 在 对 端 上 被 解密 。 
例如 : 

本 端 

aclnumber 101 

rule 1 permit ip source 173.1.1.1 0.255.255.255 destination 173.2.2.2 0.255.255.255 

对 端 : 

aclnumber 101 

rule 1 permit ip source 173.2.2.2 0.255.255.255 destination 173.1.1.1 0.255.255.255 

IPSec 对 访问 控制 列表 (ACL) 中 permit 的 数据 流 进行 保护 ， 因 此 建议 用 户 精确 地 配 
置 ACL， 只 对 确实 需要 IPSec 保护 的 数据 流 配置 permit， 避 免 盲目 地 使 用 关键 字 any。 建 
议 用 户 将 本 端 和 对 端的 ACL 配置 成 互 为 镜像 。 

当 用 户 使 用 display acl 命令 来 浏览 路 由 器 的 访问 控制 列表 ， 所 有 扩展 IP 访问 控制 列 
表 都 将 显示 在 命令 的 输出 中 ， 即 同时 包括 了 用 于 通信 过 滤 和 用 于 加 密 的 扩展 IP 访问 控制 
列表 ， 该 命令 的 输出 信息 不 区 分 这 两 种 不 同 用 途 的 扩展 访问 控制 列表 。 


2. 定义 安全 提议 


安全 提议 保存 IPSec 需要 使 用 的 特定 安全 性 协议 以 及 加 密 /验证 算法 ， 为 IPSec 协商 
安全 联盟 提供 各 种 安全 参数 。 为 了 能 够 成 功 的 协商 IPSec 的 安全 联盟 ， 两 端 必须 使 用 相同 
的 安全 提议 。 

安全 提议 的 配置 包括 : 

。 定义 安全 提议 。 

。 选择 安全 协议 。 

。 选择 安全 算法 。 

。 设置 安全 协议 对 人 P 报 文 的 封装 模式 。 

1) 创建 安全 提议 

安全 提议 是 用 于 实施 IPSec 保 护 而 采用 的 安全 协议 、 算 法 和 报 文 封装 形式 的 一 个 组 合 。 
一 条 安全 策略 通过 引用 一 个 或 多 个 安全 提议 来 确定 采用 的 安全 协议 、 算 法 和 报 文 封装 形式 。 
在 安全 策略 引用 一 个 安全 提议 之 前 ， 这 个 安全 提议 必须 已 经 建立 。 最 多 能 够 创建 50 个 安 
全 提议 。 

可 对 安全 提议 进行 修改 , 但 对 已 协商 成 功 的 安全 联盟 , 新 修改 的 安全 提议 并 不 起 作用 ， 
即 安全 联盟 仍然 使 用 原来 的 安全 提议 (除非 使 用 reset ipsec sa 命令 重 置 )， 只 有 新 协商 的 
安全 联盟 将 使 用 新 的 安全 提议 。 

在 系统 视图 下 进行 下 列 配置 : 

创建 安全 提议 并 进入 安全 提议 视图 ipsec proposal proposal-name。 
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删除 安全 提议 undo ipsec proposal proposal-name。 

2) 选择 报 文 封装 形式 

在 安全 提议 中 需要 指定 报 文 封装 模式 ， 安 全 隧道 的 两 端 所 选择 的 IP 报 文 封装 模式 必 
须 一 致 。 在 安全 提议 视图 下 进行 下 列 配置 : 

设置 安全 协议 对 IP 报 文 的 封装 形式 encapsulation-mode { transport | tunnel }。 

恢复 默认 报 文 封装 形式 undo encapsulation-mode。 

通常 ， 在 两 个 安全 网 关 〈 路 由 器 ) 之 间 ， 总 是 使 用 隧道 模式 。 而 在 两 台 主机 之 间 的 通 
讯 ， 或 者 是 一 台 主 机 和 一 个 安全 网 关 之 间 的 通讯 (例如 网 关 工 作 站 和 一 台 路 由 器 之 间 的 网 
关 通 讯 ， 此 时 安全 网 关 相 对 于 网 关 数 据 来 说 是 接收 主机 ) 选择 传输 模式 。 默 认 情况 下 采用 
tunnel， 即 隧道 模式 。 

3) 选择 安全 协议 

安全 提议 中 需要 选择 所 采用 的 安全 协议 。 目 前 可 选 的 安全 协议 有 AH 和 ESP, 也 可 指 
定 同时 使 用 AH 与 ESP。 安 全 隧道 两 端 所 选择 的 安全 协议 必须 一 致 。 请 在 安全 提议 (IPsec 
proposal) 视图 下 进行 下 列 配置 : 

设置 安全 提议 采用 的 安全 协议 transform { ah | ah-esp |esp } 。 

恢复 默认 的 安全 协议 undo transform 。 

默认 情况 下 采用 esp， 即 RFC2406 规定 的 ESP 协议 。 

4) 选择 安全 算法 

不 同 的 安全 协议 可 以 采用 不 同 的 验证 算法 和 加 密 算 法 。 目 前 ,AH 支持 MD5 和 SHA-1 
验证 算法 ， ESP 协议 支持 MD5、SHA-1 验证 算法 和 DES、3DES、AES 加 密 算法 。 请 在 
安全 提议 视图 下 进行 下 列 配置 

设置 ESP 协议 采用 的 加 密 算法 esp encryption-algorithm { 3des | des | aes } 。 

设置 ESP 协议 不 对 报 文 进 行 加 密 undo esp encryption-algorithm 。 

设置 ESP 协议 采用 的 验证 算法 esp authentication-algorithm { md5 | shal } 。 

设置 ESP 协议 不 对 报 文 进行 验证 undo esp authentication-algorithm 。 

设置 AH 协议 采用 的 验证 算法 ah authentication-algorithm { md5 | shal }。 

恢复 AH 协议 默认 的 验证 算法 undo ah authentication-algorithm 。 

ESP 协议 允许 对 报 文 同时 进行 加 密 和 验证 ， 或 只 加 密 ， 或 只 验证 。 注 意 ，undo esp 
authentication-algorithm 命令 不 是 恢复 验证 算法 为 默认 算法 ， 而 是 设置 验证 算法 为 空 ， 即 不 
验证 。 当 加 密 算法 为 裤 时 ，undo esp authentication-algorithm 命令 失效 。AH 协议 没有 加 密 
的 功能 ， 只 对 报 文 进行 验证 。undo ah authentication-algorithm 命令 用 来 恢复 AH 协议 默认 
验证 算法 (md5)。 在 安全 隧道 的 两 端 设 置 的 安全 策略 所 引用 的 安全 提议 必须 设置 成 采用 同 
样 的 验证 算法 和 /或 加 密 算 法 。 默 认 情况 下 ，ESP 协议 采用 的 加 密 算法 是 des， 采 用 的 验证 
算法 是 md5; AH 协议 采用 的 验证 算法 是 md5。 注 意 必 须 首 先 通过 transform 命令 选择 了 
相应 的 安全 协议 后 ， 该 安全 协议 所 需 的 安全 算法 才 可 配置 。 例 如 ， 如 果 使 用 transform 命令 
选择 了 esp, 那么 只 有 ESP 所 需 的 安全 算法 才 可 配置 , 而 AH 所 需 的 安全 算法 则 不 能 配置 。 


3. 创建 安全 策略 
安全 策略 规定 了 对 什么 样 的 数据 流 采用 什么 样 的 安全 提议 。 安 全 策略 分 为 手工 安全 策 


略 和 IKE 协商 安全 策略 ， 前 者 需要 用 户 手工 配置 密 钥 、SPI 等 参数 ， 在 隧道 模式 下 还 需要 
手工 配置 安全 隧道 两 个 端点 的 卫 地 址 ; 后 者 则 由 IKE 自动 协商 生成 这 些 参数 。 

本 文 将 全 面 介绍 安全 策略 的 各 项 配置 ， 以 IKE 协商 创建 安全 策略 联盟 的 配置 为 例 介绍 
用 IKE 创建 安全 策略 联盟 方法 。 

IKE 创建 安全 策略 联盟 的 配置 包括 : 

。 用 IKE 创建 安全 策略 联盟 。 

。 配置 安全 策略 引用 的 访问 控制 列表 。 

。 指定 安全 隧道 的 终点 。 

。 配置 安全 策略 中 引用 的 安全 提议 。 

。 配置 安全 联盟 的 生存 时 间 。 

1) 用 IKE 创建 安全 策略 

在 系统 视图 下 进行 下 列 配置 : 

用 IKE 创建 安全 策略 ， 进 入 安全 策略 视图 。 

ipsec policy policy-name seq-number isakmp 

用 IKE 并 采用 策略 模板 动态 创建 安全 策略 。 

ipsec policy policy-name seq-number isakmp [ template template-name ] 

修改 通过 IKE 协商 建立 的 安全 策略 。 

ipsec policy policy-name seq-number isakmp 

删除 安全 策略 。 

undo ipsec policy policy-name [ seq-number ] 

2) 配置 在 安全 策略 中 引用 安全 提议 

安全 策略 通过 引用 安全 提议 来 确定 采用 的 安全 协议 、 算 法 和 报 文 封 装 形式 。 在 引用 一 
个 安全 提议 之 前 ， 这 个 安全 提议 必须 已 经 建立 。 请 在 安全 策略 视图 下 进行 下 列 配置 : 

设置 安全 策略 所 引用 的 安全 提议 proposal proposal-namel [proposal-name2 … 
proposal-name6 ]。 

取消 安全 策略 引用 的 安全 提议 undo proposal。 

通过 手工 (manual) 方式 建立 安全 联盟 ， 一 条 安全 策略 只 能 引用 一 个 安全 提议 ， 并 且 
如 果 已 经 设置 了 安全 提议 ， 必 须 先 取消 原先 的 安全 提议 才能 设置 新 的 安全 提议 。 在 安全 隧 
道 的 两 端 设置 的 安全 策略 所 引用 的 安全 提议 必须 设置 成 采用 同样 的 安全 协议 、 算 法 和 报 文 
封装 形式 。 

3) 配置 在 安全 策略 引用 的 访问 控制 列表 

安全 策略 引用 访问 控制 列表 ，IPSec 根据 该 访问 控制 列表 中 的 规则 来 确定 哪些 报 文 需 
要 安全 保护 ， 哪 些 报 文 不 需要 安全 保护 : 访问 控制 列表 匹配 (permit) 的 报 文 被 保护 ， 访 
问 控制 列表 拒绝 (deny) 的 报 文 不 被 保护 。 命 令 如 下 : 

设置 安全 策略 引用 的 访问 控制 列表 security acl acl-number。 

取消 安全 策略 引用 的 访问 控制 列表 undo security acl。 

一 条 安全 策略 只 能 引用 一 条 访问 控制 列表 ， 如 果 设 置 安全 策略 引用 了 多 个 访问 控制 列 
表 ， 只 有 最 后 配置 的 那 条 访问 控制 列表 才能 有 效 通 过 IKE (isakmp) 协商 建立 安全 联盟 ， 
一 条 安全 策略 最 多 可 以 引用 6 个 安全 提议 ，IKE 协商 将 在 安全 隧道 的 两 端 搜索 能 够 完全 匹 
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配 的 安全 提议 。 如 果 IKE 在 两 端 找 不 到 完全 匹配 的 安全 提议 ， 则 安全 联盟 不 能 建立 ， 需 要 
被 保护 的 报 文 将 被 丢弃 。 

4) 配置 在 安全 策略 中 引用 IKE 对 等 体 

对 于 IKE 协商 方式 ， 无 需 像 手工 方式 那样 配置 对 等 体 、SPI 和 密 钥 等 参数 ，IKE 将 自 
动 协商 它们 ， 因 而 仅 需要 将 安全 策略 和 IKE Peer 关联 即 可 。 命 令 如 下 : 

在 安全 策略 中 引用 ike 对 等 体 ike peer peer-name。 

取消 在 安全 策略 中 引用 ike 对 等 体 undo ike peer peer-name。 

IPSec 对 IKE Peer 的 引用 ， 实 际 在 IKE Peer 视图 下 还 需要 进行 一 些 IKE 相关 参数 的 
设置 ， 包括 IKE 的 协商 模式 、ID 类 型 、NAT 穿越 、 共 享 密 钥 、 对 端 地 址 和 对 端 名 称 等 。 

5) 配置 安全 联盟 的 生存 周期 (可 选 ) 

(1) 配置 全 局 的 安全 联盟 生存 周期 

所 有 在 安全 策略 视图 下 没有 单独 配置 生存 周期 的 安全 联盟 , 都 采用 全 局 生存 周期 IKE 
为 IPSec 协商 建立 安全 联盟 时 ， 采 用 本 地 设置 的 和 对 端 提议 的 生存 周期 中 较 小 的 一 个 。 有 
两 种 类 型 的 生存 周期 :“ 基 于 时 间 ” 的 生存 周期 和 “基于 流量 ”的 生存 周期 。 无 论 哪 一 种 类 
型 的 生存 周期 先 到 期 ， 安 全 联盟 都 会 失效 。 安 全 联盟 快要 失效 前 ，IKE 将 为 IPSec 协商 建 
立新 的 安全 联盟 ， 这 样 在 旧 的 安全 联盟 失效 时 新 的 安全 联盟 就 已 经 准备 好 。 在 系统 视图 下 
进行 下 列 配置 : 

设置 全 局 的 安全 联盟 (SA) 生存 周期 。 

ipsec sa global-duration { traffic-based kilobytes | time-based seconds } 

恢复 全 局 的 安全 联盟 (SA ) 生存 周期 为 默认 值 undo ipsec sa global-duration 
{ traffic-based | time-based } 。 

改变 全 局 生存 周期 ， 不 会 影响 单独 配置 了 自己 的 生存 周期 的 安全 策略 ， 也 不 会 对 已 经 
建立 的 安全 联盟 产生 影响 , 但 是 在 以 后 的 IKE 协商 中 会 用 于 建立 新 的 安全 联盟 。 生 存 周 期 
只 对 通过 isakmp 方式 建立 的 安全 联盟 有 效 ， 对 通过 manual 方式 建立 的 安全 联盟 没有 生存 
周期 的 限制 ， 即 手工 建立 的 安全 联盟 永远 不 会 失效 。 

(2) 配置 安全 联盟 的 生存 周期 

为 安全 策略 设置 单独 的 安全 联盟 生存 周期 ， 如 果 没 有 单独 设置 生存 周期 ， 则 采用 设 定 
的 全 局 生存 周期 。IKE 为 IPSec 协商 建立 安全 联盟 时 ， 采 用 本 地 设置 的 和 对 端 提议 的 生存 
周期 中 较 小 的 一 个 。 请 在 安全 策略 视图 下 进行 下 列 配置 : 

设置 安全 策略 安全 联盟 的 生存 周期 sa duration { traffic-based kilobytes | time-based 
seconds }。 

恢复 使 用 设 定 的 全 局 生存 周期 undo sa duration { traffic-based | time-based }。 

改变 生存 周期 , 不 会 影响 已 经 建立 的 安全 联盟 , 但 是 在 以 后 的 IKE 协商 中 会 用 于 建立 
新 的 安全 联盟 。 

6) 配置 协商 时 使 用 的 PFS 特性 (可 选 》 

PFS (Perfect Forward Secrecy， 完 善 的 前 向 安全 性 ) 是 一 种 安全 特性 ， 指 一 个 密 钥 被 
破解 ， 并 不 影响 其 他 密 钥 的 安全 性 ， 因 为 这 些 密 钥 间 没 有 派生 关系 。 此 特性 是 通过 在 IKE 
阶段 的 协商 中 增加 密 钥 交换 来 实现 的 。 请 在 安全 策略 视图 下 进行 下 列 配置 : 

设置 协商 时 使 用 的 PFS 特性 pf { dh-group1 | dh-group2 } 。 


设置 在 协商 时 不 使 用 PFS 特性 undo pfs。 

IKE 在 使 用 此 安全 策略 发 起 一 个 协商 时 ， 进 行 一 个 PFS 交换 。 如 果 本 端 指定 了 PFS， 
对 端 在 发 起 协商 时 必须 是 PFS 交换 。 本 端 和 对 端 指定 的 DH 组 必须 一 致 ， 否 则 协商 会 
失败 。 

1024-bit Diffie-Hellman 组 (group2) 比 768-bit Diffie-Hellman 组 (groupl) 提供 更 高 
的 安全 性 ， 但 是 需要 更 长 的 计算 时 间 。 


4. 配置 安全 策略 模板 


在 采用 IKE 方式 创建 安全 策略 时 ,， 除 直接 在 安全 策略 视图 下 直接 配置 安全 策略 外 , 还 
可 以 通过 引用 安全 策略 模板 来 创建 安全 策略 。 在 这 种 情况 下 ， 我 们 应 先 在 安全 策略 模板 中 
配置 好 所 有 的 安全 策略 。 安 全 策略 模板 的 配置 与 普通 的 安全 策略 配置 相似 ， 首 先 创建 一 个 
策略 模板 ， 然 后 配置 模板 的 参数 。 

创建 /修改 IPsec 安全 策略 模板 ipsec policy-template template-name seq-number。 

删除 安全 策略 模板 undo ipsec policy-template policy-template-name [ seq-number ] 。 

执行 上 面 的 创建 命令 ， 会 进入 IPsec 策略 模板 视图 ， 在 此 视图 下 ， 可 以 配置 策略 模板 
的 参数 。 

安全 策略 模板 可 配置 的 参数 与 IPsec 安全 策略 相同 ， 只 是 很 多 参数 是 可 选 的 。 必 须 配 
署 的 参数 只 有 IPsec 安全 提议 ， 而 隧道 对 端 地 址 、 保 护 的 数据 流 、PFS 特性 可 以 不 配置 。 
但 需要 注意 : 如 果 配 置 了 这 些 参 数 中 的 一 个 或 几 个 ， 则 在 协商 时 这 些 参数 必须 匹配 。 

在 策略 模板 配置 完成 后 ， 还 需要 使 用 如 下 命令 引用 IPsec 安全 策略 模板 ipsec policy 
policy-name seq-number template template-name。 

当 某 一 个 安全 策略 引用 了 安全 策略 模板 后 ， 就 不 能 够 再 进入 其 安全 策略 视图 下 配置 或 
修改 安全 策略 了 ， 只 能 进入 安全 策略 模板 视图 下 配置 或 修改 。 


5. 在 接口 上 应 用 安全 策略 组 


为 使 定义 的 安全 联盟 生效 , 应 在 每 个 要 加 密 的 出 站 数据 、 解 密 的 入 站 数据 所 在 接口 ( 迪 
辑 的 或 物理 的 ) 上 应 用 一 个 安全 策略 组 ， 由 这 个 接口 根据 所 配置 的 安全 策略 组 和 对 端 加 密 
路 由 器 配合 进行 报 文 的 加 密 处 理 。 当 安全 策略 组 被 从 接口 上 删除 后 ， 此 接口 便 不 再 具有 
IPSec 的 安全 保护 功能 。 请 在 接口 视图 下 进行 下 列 配置 : 

应 用 安全 策略 组 ipsec policy policy-name。 

取消 应 用 的 安全 策略 组 undo ipsec policy。 

一 个 接口 只 能 应 用 一 个 安全 策略 组 ， 一 个 安全 策略 组 可 以 应 用 到 多 个 接口 上 。 但 手工 
方式 配置 的 安全 策略 只 能 应 用 到 一 个 接口 。 当 从 一 个 接口 发 送 报 文 时 ， 将 按照 从 小 到 大 的 
顺序 号 查找 安全 策略 组 中 每 一 条 安全 策略 。 如 果 报 文 匹 配 了 一 条 安全 策略 引用 的 访问 控制 
列表 ， 则 使 用 这 条 安全 策略 对 报 文 进行 处 理 ， 如 果 报 文 没有 匹配 安全 策略 引用 的 访问 控制 
列表 ， 则 继续 查找 下 一 条 安全 策略 ; 如 果 报 文 对 所 有 安全 策略 引用 的 访问 控制 列表 都 不 匹 
配 ， 则 报 文 直接 被 发 送 (IPSec 不 对 报 文 加 以 保护 )。 

华为 公司 实现 的 IPSec 安全 策略 除了 可 以 应 用 到 串口 、 以 太 网 口 等 实际 物理 接口 上 之 
外 ， 还 能 够 应 用 到 Tunnel、Virtual Template 等 虚 接 口上 。 这 样 就 可 以 根据 实际 组 网 要 求 ， 


229 


230 


计算 机 网 络 安全 管理 (第 2 版 ) 


在 如 GRE、L2TP 等 隧道 上 应 用 IPSec。 
6.4.4 IPSec 显示 与 调试 


IPSec 提供 以 下 命令 显示 安全 联盟 、 安 全 联盟 生存 周期 、 安 全 提议 、 安 全 策略 的 信息 
以 及 IPSec 处 理 的 报 文 的 统计 信息 。 

display 命令 可 在 所 有 视图 下 进行 操作 ，debugging 命令 只 能 在 用 户 视图 下 操作 。 

显示 安全 联盟 的 相关 信息 display ipsec sa [ brief | remote ip-address | policy policy-name 
[ seq-number ] | duration ]。 

显示 IPSec 处 理 报 文 的 统计 信息 display ipsec statistics。 

显示 安全 提议 的 信息 display ipsec proposal [ proposal-name ]。 

显示 安全 策略 的 信息 display ipsec policy [ brief | name policy-name [ seq-number ] ] 。 

显示 安全 策略 模板 的 信息 display ipsec policy-template [ brief | name policy-name 
[ seq-number ] ] 。 

打开 IPSec 的 调试 功能 debugging ipsec { sa | packet [ policy policy-name [ seq-number ] 
|parameters ip-address protocol spi-number ] | misc } 。 

禁止 IPSec 的 调试 功能 undo debugging ipsec { sa | packet [ policy policy-name 
[ seq-number ] | parameters ip-address protocol spi-number ] | misc } 。 

清除 人 PSec 的 报 文 统计 信息 ， 此 配置 任务 清除 IPSec 的 报 文 统计 信息 ， 所 有 的 统计 信 
息 都 被 设置 成 零 。 在 用 户 视图 下 进行 下 列 操作 : 

清除 了 PSec 的 报 文 统计 信息 reset ipsec statistics。 

删除 安全 联盟 ， 此 配置 任务 删除 已 经 建立 的 安全 联盟 (无 论 是 手工 建立 的 还 是 通过 
IKE 协商 建立 的 )。 如果 未 指定 参数 , 则 删除 所 有 的 安全 联盟 。 在 用 户 视 图 下 进行 下 列 操作 : 

删除 安全 联盟 reset ipsec sa [ remote ip-address | policy policy-name [ seq-number ] | 
parameters dest-address protocol spi ]。 

对 于 通过 IKE 协商 建立 的 安全 联盟 ， 被 删除 后 如 果 有 报 文 重新 触发 KE 协商 ，IKE 
将 重新 协商 建立 安全 联盟 。 对 于 手工 建立 的 安全 联盟 ， 被 删除 后 系统 会 根据 手工 设置 的 参 
数 立 即 创建 新 的 安全 联盟 。 如 果 指 定 参 数 parameters， 由 于 安全 联盟 是 成 对 出 现 的 ， 删 除 
了 一 个 方向 安全 联盟 ， 另 一 个 方向 安全 联盟 也 随 之 被 删除 。 


6.4.5 IPSec 典型 配置 案例 


1. 采用 isakmp 方式 建立 安全 联盟 的 配置 组 网 需求 


在 RouterA 和 了 RouterB 之 间 建 立 一 个 安全 隧道 ,对 PC A 代表 的 子 网 (10.1.1.x) 与 PC 
B 代表 的 子 网 (10.1.2.x) 之 间 的 数据 流 进 行 安全 保护 。 安 全 协议 采用 ESP 协议 ， 加 密 算 
法 采用 DES， 验 证 算法 采用 SHA1-HMAC-96。 


2. 组 网 图 
IPSec 配置 组 网 图 如 图 6-10 所 示 。 


RouterA 


Serial 2/0/1 3 Serial 4/1/2 


202.38.163.1 AQ 202.38.162.1 


图 6-10 


3. 配置 步骤 


1) 配置 Router A 
# 配置 一 个 访问 控制 列表 ， 定 义 由 子 网 10.1.1.x 去 子 网 10.1.2.x 的 数据 流 
[Quidway] acl number 101 
[Quidway-acl-adv-101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 
0.0.0.255 
[Quidway-acl-adv-101] rule deny ip source any destination any 
# 配置 到 PC B 的 静态 路 由 
[Quidway] ip route-static 10.1.2.0 255.255.255.0 202.38.162.1 
# 创建 名 为 tranl 的 安全 提议 
[Quidway] ipsec proposal tran1 
# 报 文 封装 形式 采用 隧道 模式 
[Quidway-ipsec-proposal-tran1] encapsulation-mode tunnel 
# 安全 协议 采用 ESP 协议 
[Quidway-ipsec-proposal-tran1] transform esp 
# 选择 算法 
[Quidway-ipsec-proposal-tran1] esp encryption-algorithm des 
[Quidway-ipsec-proposal-tran1] esp authentication-algorithm shal 
# 退回 到 系统 视图 
[Quidway-ipsec-proposal-tran1] quit 
# 配置 IKE 对 等 体 
[Quidway] ike peer peer 
[Quidway-ike-peer-peer] pre-share-key abcde 
[Quidway-ike-peer-peer] remote- address 202.38.162.1 
# 创建 一 条 安全 策略 ， 协 商 方式 为 isakmp 
[Quidway] ipsec policy mapl 10 isakmp 
# 引用 安全 提议 
[Quidway-ipsec-policy-isakmp-map1-10] proposal tran1 
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# 引用 访问 控制 列表 
[Quidway-ipsec-policy-isakmp-map1-10] security acl 101 
# 引用 IKE 对 等 体 
[Quidway-ipsec-policy-isakmp-map1-10] ike peer peer 
# 退回 到 系统 视图 
[Quidway-ipsec-policy-isakmp-map1-10] quit 
# 进入 串口 配置 视图 
[Quidway] interface serial 12/0/1 
# 配置 串口 的 IP 地 址 
[Quidway-Seriall2/0/1] ip address 202.38.163.1 255.0.0.0 
# 在 串口 上 应 用 安全 策略 组 
[Quidway-Seriall2/0/1] ipsec policy mapl 
# 退回 到 系统 视图 
[Quidway-Seriall2/0/1] quit 
2) 配置 Router B 
# 配置 一 个 访问 控制 列表 ， 定 义 由 子 网 10.1.2.x 去 子 网 10.1.1.x 的 数据 流 
[Quidway] acl number 101 
[Quidway-acl-adv-101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 
0.0.0.255 
[Quidway-acl-adv-101] rule deny ip source any destination any 
# 配置 到 PC A 的 静态 路 由 
[Quidway] ip route-static 10.1.1.0 255.255.255.0 202.38.163.1 
# 创建 名 为 tranl 的 安全 提议 
[Quidway] ipsec proposal tran1 
# 报 文 封装 形式 采用 隧道 模式 
[Quidway-ipsec-proposal-tran1] encapsulation-mode tunnel 
# 安全 协议 采用 ESP 协议 
[Quidway-ipsec-proposal-tran1] transform esp 
# 选择 算法 
[Quidway-ipsec-proposal-tran1] esp encryption-algorithm des 
[Quidway-ipsec-proposal-tran1] esp authentication-algorithm shal 
# 退回 到 系统 视图 
[Quidway-ipsec-proposal-tran1] quit 
# 配置 IKE 对 等 体 
[Quidway] ike peer peer 
[Quidway-ike-peer-peer] pre-share-key abcde 
[Quidway-ike-peer-peer] remote-address 202.38.163.1 
# 创建 一 条 安全 策略 ， 协 商 方式 为 isakmp 
[Quidway] ipsec policy usel 10 isakmp 


# 引用 访问 控制 列表 
[Quidway-ipsec-policy-isakmp-usel-10] security acl 101 
# 引用 安全 提议 
[Quidway-ipsec-policy-isakmp-usel-10] proposal tran1 
# 引用 IKE 对 等 体 
[Quidway-ipsec-policy-isakmp-map1-10] ike peer peer 
# 退回 到 系统 视图 
[Quidway-ipsec-policy-isakmp-usel-10] quit 
# 进入 串口 配置 视图 
[Quidway] interface serial 4/1/2 
# 配置 串口 的 IP 地 址 
[Quidway-Serial4/1/2] ip address 202.38.162.1 255.0.0.0 
# 在 串口 上 应 用 安全 策略 组 
[Quidway-Serial4/1/2] ipsec policy usel 
# 退回 到 系统 视图 
[Quidway-Serial4/1/2] quit 
以 上 配置 完成 后 , Router A 和 Router B 之 间 如 果 有 子 网 10.1.1.x 与 子 网 10.1.2.x 之 间 
的 报 文通 过 ， 将 触发 IKE 进行 协商 建立 安全 联盟 。IKE 协商 成 功 并 创建 了 安全 联盟 后 ， 子 
网 10.1.1.x 与 子 网 10.1.2.x 之 间 的 数据 流 将 被 加 密 传输 。 


电子 邮件 的 安全 管理 


现在 的 Intemet 上 ， 使 用 最 广泛 的 应 用 服务 之 一 就 是 电子 邮件 服务 ， 上 网 的 人 每 人 几 
平 至 少 有 一 个 邮箱 ，E-mail (电子 邮件 ) 是 一 个 时 艇 的 词 ， 每 个 人 都 离 不 开 电 子 邮 件 ， 因 
为 它 已 经 成 为 互联 时 代 必 不 可 少 的 产物 ， 它 使 天 南海 北 的 人 距离 拉 近 ， 很 多 的 信息 交流 在 
儿 秒 内 就 可 以 在 网 上 传递 ， 在 电子 邮箱 中 还 会 有 许多 个 人 的 隐私 。 因 此 在 本 章 中 详细 讲述 
电子 邮件 系统 的 安全 知识 ， 并 且 讲 述 对 电子 邮件 服务 器 Exchange 的 安全 配置 。 


7.1 电子 邮件 概述 


电子 邮件 是 一 种 利用 电子 手段 提供 信息 交换 的 通信 方式 ， 是 Internet 应 用 服务 中 用 户 
最 多 、 使 用 最 广泛 的 一 类 服务 。 当 前 电子 邮件 系统 提供 了 进行 复杂 通信 和 交互 服务 的 功能 ， 
主要 是 接 发 电子 邮件 和 对 邮件 做 各 种 处 理 。 这 就 是 电子 邮件 的 一 个 子 系统 一 一 用 户 代 理 。 

电子 邮件 的 另 一 个 子 系统 是 消息 传输 代理 ， 顾 名 思 义 就 是 传送 邮件 消息 。 电 子 邮 件 传 
递 与 其 他 应 用 服务 的 不 同 之 处 在 于 ， 当 接收 端 网 络 出 现 故 障 时 邮件 系统 还 必须 提供 服务 ， 
而 其 他 服务 则 可 能 重 发 几 次 后 终止 。 在 电子 邮件 系统 中 采用 了 缓存 技术 ， 当 用 户 发 送 一 个 
邮件 消息 时 ， 系 统 将 邮件 副本 给 发 送 者 ， 目 的 机 的 标识 及 时 间 放 入 独 有 的 存储 区 ， 然 后 使 
用 后 台 进 程 完成 邮件 的 发 送 。 

后 台 的 进程 用 域名 系统 将 目的 机 器 映射 为 了 P 地址， 然后 建立 TCP 连接 。 连 接 成 功 后 
把 报 文 的 副本 传递 给 目的 主机 ， 当 目的 主机 发 回 已 收 到 报 文 认可 后 ， 在 缓存 中 删除 副本 
如 果 建 立 连接 不 成 功 ， 后 台 进 程 将 尝试 在 几 天 内 发 送 ， 如 果 仍 没 传送 成 功 ， 将 给 邮件 发 送 
者 发 送 失 败 报告 。 


7.2 ”电子 邮件 使 用 的 协议 


电子 邮件 相关 的 协议 有 三 种 : POP 邮局 协议 、.IMAP 交互 式 电子 邮件 访问 协议 和 SMTP 
简单 邮件 传输 协议 ， 下 面 分 别 进行 介绍 。 
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7.2.1 POP 邮局 协议 


POP (Post Office Protocol) 邮局 协议 是 个 说 明 PC 如 何 与 Internet 上 的 邮件 服务 器 连接 
及 如 何 下 载 E-mail 的 协议 。POP 邮局 协议 负责 将 邮件 通过 SLIP/PPP 连接 传送 到 用 户 的 主 
机 上 ， 它 是 一 种 只 负责 接收 的 协议 ， 不 能 通过 它 发 送 邮件 。 目 前 流行 的 版 本 是 POP3 协议 ， 
它 是 一 种 从 远程 邮箱 中 读 取 电 子 邮件 的 简单 协议 。 


7.2.2 1IMAP 交互 式 电子 邮件 访问 协议 


IMAP (Internet Message Access Protocol) 协议 是 指 从 公司 的 邮件 服务 器 获得 E-mail 
的 有 关 信 息 或 直接 收取 邮件 的 协议 。 这 个 E-mail 协议 可 以 让 用 户 远程 拨号 连接 Intemet 服 
务 器 ， 并 且 可 以 在 下 载 邮件 之 前 预览 邮件 的 主题 与 来 源 ， 还 可 以 选择 是 否 下 载 附件 ， 可 以 
是 邮件 的 一 部 分 或 是 邮件 整体 。 换 言 之 ， 就 是 电子 邮件 服务 器 维护 一 个 中 心 数据 库 ， 多 台 
用 户 计算 机 能 同时 访问 使 用 这 台 邮 件 服务 器 。 


7.2.3 SMTP 简单 电子 邮件 传输 协议 


SMTP (Simple Mail Transfer Protocol) 是 一 个 简单 的 ASCII 协议 ， 它 用 于 接受 连接 ， 
并 将 消息 发 送 到 目的 邮箱 ， 如 果 传 送 失败 ， 则 返回 出 错 报告 。 通 过 SMTP 协议 所 指定 的 服 
务 器 ， 就 可 以 把 E-mail 寄 到 收 信人 的 服务 器 上 。 

目前 ， 多 数 的 电子 邮箱 都 是 基于 SMTP 简单 电子 邮件 传输 协议 和 POP3 邮局 协议 。 支 
持 IMAP 交互 式 电子 邮件 访问 协议 的 很 少 ，21CN 是 少数 之 一 。 


7.3 ”电子 邮件 发 送 方式 的 安全 


电子 邮件 的 收发 方式 有 如 下 两 种 。 
。 使 用 Web 页 方式 : 用 IE 登录 到 主页 ， 进 入 自己 的 邮箱 收发 自己 的 邮件 。 
。 使 用 邮件 客户 端 : 如 使 用 OutLook、FoxMail 等 。 


7.3.1 Web 页 方式 


WWW 服务 是 最 广泛 的 使 用 Internet 方式 ， 大 部 分 人 的 邮箱 都 是 基于 某 一 个 网 站 上 的 
Web 电子 邮箱 。 当 登录 到 站 点 主页 ， 可 以 通过 身份 验证 与 密码 验证 的 组 合 进入 已 经 申请 的 
邮箱 ， 如 果 发 送 的 邮件 没有 商业 或 个 人 隐私 时 ， 你 或 许 不 太 关心 它 的 安全 问题 ， 但 如 有 机 
密 ， 那 么 你 必须 知道 ， 最 近 浏览 过 的 网 页 会 自动 保存 在 缓存 文件 夹 中 ， 并 且 你 进入 信箱 时 
的 地 址 栏 中 的 地 址 也 会 被 保存 下 来 , 成 为 历史 记录 ,所 以 为 了 保证 你 以 Web 方式 收发 电子 
邮件 的 安全 ， 必 须 打开 IE， 并 选择 工具 菜单 中 的 Internet 选项 ， 这 时 将 出 现 如 图 7-1 所 示 
的 “Internet 选项 ”对 话 框 ， 在 “Internet 临时 文件 ”和 “历史 记录 ”两 个 选项 框 中 ， 必 须 
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选择 删除 文件 和 清除 历史 记录 这 两 项 内 
容 ， 才 能 保证 收发 电子 邮件 的 内 容 及 地 
址 不 被 窃取 。 

另外 还 可 以 在 一 些 安全 站 点 中 申请 
电子 邮箱 ， 例 如 在 www.hotmail.com 站 
点 上 申请 电子 邮箱 ，Hotmail 站 点 本 身 是 
一 个 用 SSL 建立 的 安全 站 点 ， 当 登录 到 
MSN Hotmail 时 ， 用 户 的 登录 名 和 密码 
会 被 加 密 ， 并 且 接 下 来 的 数据 通过 SSL 
连接 来 进行 数据 传输 ， 这 样 就 确保 了 数 
据 在 网 上 传送 是 在 一 条 安全 通道 中 进 
行 ， 没 有 人 能 窃取 在 该 连接 中 所 传送 的 
数据 。 另 外 ， 当 登录 并 离开 安全 连接 后 ， 
MSN Hotmail 还 将 使 用 计算 机 生成 的 密 
钥 而 不 是 用 户 登 录 的 密 钥 进行 跟踪 ， 另 
外 还 将 定期 更 新 计算 机 生成 的 密 钥 以 防 


7-1 


止 其 他 人 员 冒 充 。 同 时 MSN Hotmail 有 垃圾 过 滤器 及 自动 病毒 扫描 功能 等 各 种 安全 方面 的 
设置 ， 解 除 在 Web 页 上 收发 电子 邮件 的 安全 顾虑 。 通 过 登录 Hotmail 主页 申请 邮箱 ， 如 


图 7-2 所 示 。 


二 hetp: /foon passporneuuioon sfmd-2 
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如 果 使 用 的 是 公用 计算 机 ， 请 选择 “请 不 要 为 了 便于 将 来 登录 而 记录 我 的 电子 邮件 地 
址 ” 复 选 框 。 

另外 ,在 退出 时 ， 请 记 住 在 退出 时 的 窗口 中 单 击 Hotmail 页 面 右上 方 的 “退出 ”按钮 ， 
这 样 可 以 防止 其 他 人 员 使 用 你 的 Passport， 如 图 7-3 所 示 。 


rm 
al 可 hzsh- | 


Notesil 育 音乐 精 先 学 纸 丁丁 一 [=| 


7.3.2 ”客户 端 收发 电子 邮件 的 安全 


相对 而 言 ， 使 用 客户 端 比 在 Web 页 上 收 
发 电子 邮件 安全 一 些 ， 常 用 的 有 OutLook、 
FoxMail 等 , 下 面 以 OutLook 为 例 讲述 客户 端 
收发 电子 邮件 的 安全 。 


1. 配置 OutLook 的 安全 区 域 


OutLook 允许 设置 安全 区 域 ， 通 过 配置 
安全 区 域 , 来 增强 电子 邮件 防止 非 授 权 访 问 。 
具体 的 操作 如 下 : 

打开 OutLook， 选 择 “ 工 具 ” 一 “选项 ” 

安全 ”选项 ， 出 现 图 7-4 所 示 的 对 话 框 。 
在 这 个 对 话 框 中 可 以 单 击 “ 区 域 设置 ”按钮 图 74 
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来 自 定义 是 否 可 在 HTML 邮件 中 运行 脚本 和 活动 内 容 。 在 所 选择 的 区 域 中 可 以 有 三 种 安全 
的 级 别 : 高 、 中 、 低 。 


2. 数字 标识 (数字 证 书 ) 


为 了 使 OutLook 能 安全 地 收发 电子 邮件 ， 必 须 首先 拥有 数字 标识 ， 因 为 数字 标识 就 是 
你 在 网 络 上 的 身份 证 ， 只 有 它 ， 才 能 安全 收发 电子 邮件 。 

1) 获得 数字 标识 

获得 数字 标识 有 两 种 方法 , 一 种 是 通过 一 些 受 信任 的 CA 发 放 中 心 来 获得 数字 标识 ( 即 
数字 证 ) 如 Verisign 公司 ， 它 的 网 址 是 www.verisign.com， 访 问 此 站 点 ， 按 要 求 填 入 正确 
的 个 人 信息 ， 此 公司 会 给 你 一 个 数字 身份 识别 号 ， 然 后 访问 http://digitalid.verisign. 
com/mspickup.htm 网 页 ， 提 交 你 的 数字 身份 识别 号 即 可 。 这 个 数字 就 是 你 的 数字 标识 。 第 
二 种 是 通过 微软 证 书 服务 器 来 完成 获得 数字 标识 〈 参 见 第 9 章 ) 。 

2) 配置 数字 标识 

配置 数字 标识 时 ， 选 择 “工具 ”一 “账号 ”选项 ， 选 择 想 使 用 数字 标识 的 账号 ， 选 择 
“属性 ”一 “安全 ”选项 ， 再 单 击 “ 签 名 标识 ”区 域 的 “选择 ”按钮 ， 选 择 使 用 该 账号 签署 
邮件 时 将 使 用 何 种 数字 标识 ;再 单 击 “ 加 密 首 选项 ”区 域 的 “选择 ”按钮 ， 选 择 加 密 证 书 
和 算法 ， 这 些 信息 将 包含 在 你 的 数字 签名 的 邮件 中 ， 这 样 ， 阅 读 到 你 的 电子 邮件 的 人 就 可 
以 用 同样 的 设置 向 你 发 送 加 密 邮 件 。 

3) 备份 数字 标识 

为 了 防止 数字 标识 在 计算 机 上 的 丢失 , 应 该 对 证 书 进行 备份 , 双击 正 浏览 器 , 单 击 “ 工 
具 ” 菜 单 ， 选 择 “ 证 书 ”菜单 中 的 “证 书 ”按钮 进入 “证 书 管 理 器 ”， 选 择 需 要 备份 的 证 
书 (数字 标 识 ) ， 单 击 “导入 /导出 数字 标识 ”按钮 备份 数字 标识 。 

3. OutLook 安全 电子 邮件 的 配置 


有 了 数字 签名 后 , 就 可 以 用 OutLook 发 
送 安全 的 电子 邮件 了 ， 从 图 7-4 可 知 ， 安 全 
的 电子 邮件 有 三 个 选项 : 

。 将 待 发 邮件 的 内 容 和 附件 加 密 。 

。 给 待 发 邮件 添加 数字 签名 。 

。 发 送 文字 签名 邮件 。 

选择 三 项 中 的 任何 组 合 均 可 达到 安全 
发 送 电子 邮件 的 目的 ， 如 果 选 择 第 二 项 ， 则 
所 有 签名 的 邮件 都 会 出 现 一 个 签名 图 标 ， 这 
个 图 标 显示 在 主题 一 栏 的 右 下 角 。 

在 图 7-4 中 单 击 “ 设 置 安全 电子 邮件 ” 
按钮 , 将 出 现 如 图 7-5 所 示 “ 更 改 安全 设置 ” 
对 话 框 。 图 7-5 

在 这 个 对 话 框 中 , 选择 数字 签名 证 书 或 
加 密 证 书 就 可 以 对 邮件 进行 加 密 或 数字 签名 了 , 还 可 以 自己 选择 加 密 算法 , 完成 后 单 击 “ 确 
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定 ”按钮 。 

7.4 ”电子 邮件 加 密 工具 

电子 邮件 加 密 的 工具 包 很 多 ， 如 A-Lock、Puffer、PGP 等 。 
7.4.1 A-Lock 邮件 加 密 软件 


A-Lock 是 一 个 邮件 加 密 的 免费 软件 ， 可 以 到 华军 软件 园 去 下 载 ， 具 体 的 网 址 是 
http://www.onlinedown.net/alock.htm， 并 在 计算 机 上 安装 ， 安 装 完成 后 ， 在 任务 上 会 看 到 此 
软件 的 图 标 吴 |。 下 面 介绍 此 加 密 软件 的 使 用 。 


1. 设置 密码 


右 击 任务 栏 中 A-Lock 图 标 ， 弹 出 菜单 如 图 7-6 所 示 ， 选 择 View/Edit Password Book 
选项 ， 可 以 为 不 同 的 电子 邮件 设置 密码 。 当 然 ， 首 先 软件 必须 是 已 经 注册 了 的 。 


2. 在 邮件 中 使 用 A-Lock 进行 邮件 加 密 


完成 电子 邮件 设置 之 后 ,选中 加 密 内 容 , 然后 在 i 
图 7-6 中 选择 Encrypt/Decrypt 选项 , 在 弹出 的 对 话 框 
中 设 定 密码 即 可 ， 这 时 会 在 加 密 邮 件 的 头 和 尾 出 
现 <<START PC Encerypt DATA>> 及 <<END PC_ 
Encrypt DATA>> 表 明 加 密 成 功 ， 然 后 邮件 就 可 以 发 
送出 去 了 。 


3. 在 邮件 中 使 用 A-Lock 进行 邮件 解密 


收 到 用 此 加 密 的 电子 邮件 后 , 需要 选中 要 解密 的 
邮件 内 容 ， 再 次 选择 EnerypVDecrypt 选项 ， 此 软件 
会 自动 搜索 密码 进行 解密 ， 如 果 没 有 则 手工 输入 
密码 。 74 


7.4.2 ”Puffer 邮件 加 密 工具 


同样 ，Puffer 也 是 一 个 免费 的 共享 软件 ， 可 以 到 http://www.briggsoft.com 上 进行 下 载 。 
下 载 安装 后 ， 打 开 Puffer3 邮件 加 密 工 具 如 图 7-7 所 示 。 

Puffer3 的 加 密 功 能 很 强大 ， 它 使 用 当前 通信 和 领域 内 最 先进 的 方法 ， 不 用 别人 的 密码 ， 
只 要 记 住 自己 的 密码 就 可 以 实现 安全 的 加 密 和 解密 ， 并 且 可 以 加 密 任何 邮件 系统 和 任何 文 
件 格 式 的 邮件 。 从 图 7-7 中 可 知 ， 有 如 下 6 个 选项 卡 。 

。 Main: 设置 Puffer3.12 内 部 参数 。 

。 Encrypt: 在 加 密 窗口 中 加 密 文 件 。 
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。 Decrypt: 在 解密 窗口 中 解密 文件 。 

。 Wipe: 探 除 窗口 中 的 文件 ， 也 就 是 删除 文件 。 

。 Keys: 在 钥匙 窗口 中 添加 和 删除 公用 钥匙 。 

。 Editor: 编辑 电子 邮件 窗口 。 

所 有 的 操作 都 是 由 这 6 个 选项 卡 来 完成 ， 对 电子 邮件 的 加 密 ，Puffer 提供 了 两 种 加 密 
方法 : Password (口令 ) 与 PublicKey ( 公 钥 ) 。 


1. Password 方 法 


1) Password 加 密 

用 此 方法 进行 加 密 ， 具 体 的 操作 步骤 如 下 。 

(1) 打开 Puffer， 单 击 Encrypt 菜单 ， 弹 出 图 7-8 所 示 的 对 话 框 ， 在 Source 选项 区 域 
的 单 选 按钮 中 选择 要 加 密 的 文件 ， 这 三 个 选项 的 说 明 如 下 。 
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。 File list: 从 硬盘 中 列 出 文件 。 

。 Editor: 提供 编辑 器 上 当前 所 编写 的 内 容 。 

。 Clipboard: 加 密 当 前 剪贴 板 上 的 内 容 。 

在 Target 选项 区 域 中 是 文件 加 密 后 的 形式 ， 单 选 按钮 中 各 项 说 明 如 下 。 

。 Binary PUF file: 目标 文件 被 保存 为 扩展 名 为 .puf 的 文件 。 

。 ASCII PUF file: 目标 文件 被 保存 为 ASCII 形式 的 扩展 名 为 .puf 的 文件 。 

。 Self-Extract file: 自动 解压 缩 文件 ， 收 信人 只 要 运行 该 文件 ， 输 入 正确 的 口令 。 

。 Editor: 目标 文件 到 编辑 器 上 。 

。 Clipboard: 目标 文件 到 剪贴 板 上 。 

一 般 选择 默认 项 ， 即 Binary PUF file。 

(2) 选择 默认 项 后 单 击 Add 按钮 ， 打 开 图 7-9 所 示 的 对 话 框 ， 找 到 要 加 密 的 文件 ， 单 
击 OK 按钮 。 出 现 已 加 上 加 密 文件 的 对 话 框 如 图 7-10 所 示 。 


旭 雪 旭 志 忆 


加 
疝 
疝 


图 7-10 
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(3) 单 击 Encrypt 按钮 ， 打 开 如 图 7-11 所 示 的 对 话 框 ， 在 Encrypt with 选项 区 域 中 的 
单 选 按钮 有 如 下 两 项 。 


puffer Encryption 


图 7-11 


。 Password: 密码 。 

。 Public key (s): 公 钥 加 密 。 

在 Algonthm (算法 ) 中 可 以 选择 40 位 、128 位 、160 位 和 288 位 中 之 一 的 加 密 算法 。 

。 Sign Plaintext: 为 文件 进行 数字 签名 。 

。 Compress Data: 压缩 文件 数据 。 

。 Encrypt Headers: 加 密 信 头 。 

。 Wipe Plaintext: 加 密 文 件 后 删除 原文 件 。 

(4) 选择 完成 后 ， 单 击 OK 按钮 (这 里 采用 默认 值 ) 将 打开 图 7-12 所 示 的 对 话 框 ， 输 
入 保存 的 文件 名 。 


7-12 


(5) 输入 文件 名 和 路 径 后 ， 单 击 “ 保 存 ” 按 钮 将 打开 图 7-13 所 示 的 Encryption 
Password (加密 密 码 ) 对 话 框 , 输入 密码 和 确认 密码 , 然后 单 击 OK 按钮 。Password options 
的 三 个 选项 说 明 如 下 。 

。 Case sensitive: 区 分 大 小 写 。 


第 7 章 ”电子 邮件 的 安全 管理 


。 8 character minimum: 最 小 为 8 个 字符 。 

。 Echo asterisks: 是 否 用 * 来 代 蔡 输入 的 字母 出 现 。 

2) 用 Password 解密 

当 收 件 人 收 到 加 密 文 件 后 ， 利 用 Puffer 来 解密 。 具 体操 作为 : 

打开 Puffer， 单 击 Decrypt 菜单 项 ， 操 作 步 骤 和 加 密 类 似 ， 只 要 知道 加 密 密 码 即 可 。 


2. Public key 〈 公 钥 算 法 ) 


1) 创建 公 钥 
(1) 创建 自己 的 公 铀 ， 打 开 Puffer， 选 择 Keys 选项 卡 ， 如 图 7-14 所 示 。 


图 7-13 图 7-14 
(2) 单 击 New 按钮 ， 建 立 公 钥 的 文件 名 ， 扩 展 名 为 .ppk， 如 图 7-15 所 示 。 


与 本 地 磁盘 5-) 白 


7-15 


(3) 输入 文件 名 后 ， 单 击 “ 保 在 ”按钮 ， 打 开 图 7-16 所 示 的 对 话 框 。 

(4) 单 击 Create 按钮 ， 将 出 现 图 7-17 所 示 的 对 话 框 ， 在 Your name 文本 框 输入 姓名 ， 
在 E-mail 文本 框 中 输入 E-mail 地 址 。 在 Password 文本 框 中 设置 一 个 口令 (不 少 于 10 位 ) ， 
这 个 口令 要 牢 牢记 住 ， 日 后 才能 打开 用 Public key 法 加 密 的 文件 。 在 Confirm 文本 框 中 再 
次 输入 口令 。 在 Key Expiration Date 中 设 定 该 Public key 的 有 效 使 用 期 。 

(5) 单 击 Create 按钮 ， 打 开 图 7-18a 所 示 对 话 框 ， 按 20 个 键 ， 生 成 Key string， 这 是 
公 钥 字符 串 ， 要 记 住 ， 以 后 公 钥 用 于 网 上 传输 。 
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图 7-16 


7-17 7-18a 
(6) 单 击 OK 按钮 ， 打 开 图 7-18b 所 示 的 对 话 框 ， 记 住 自己 的 公 钥 ， 然 后 单 击 OK 按钮 。 


Information 


(i) 


图 7-18b 
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2) 加 密 
(1) 加 密 操作 的 前 几 步 同 Password， 在 图 7-19 的 Encryptwith 中 选择 Public key。 


图 7-19 


图 7-20 


(3) 单 击 Key Ring， 选 中 需要 使 用 的 公 钥 ， 然 后 单 击 Add 按钮 ， 如 图 7-21 所 示 。 

(4) 可 以 看 到 公用 密 钥 已 经 被 加 入 到 Recipients 列表 中 ， 然 后 单 击 OK 按钮 ， 如 
7-22 所 示 ， 然 后 在 出 现 的 Information 信息 框 中 单 击 OK 按钮 ， 如 图 7-23 所 示 。 

3) 用 PublicKey 解密 

解密 步骤 的 前 几 步 与 口令 法 一 样 ， 选 择 要 解密 的 文件 ， 再 单 击 Decrypt (解密 ) 按钮 ， 
Puffer 会 自动 查 出 它 是 用 公 钥 加 密 的 ,并 弹出 公 钥 解密 对 话 框 ,如 图 7-24 所 示 , 在 Select your 
public key 下 拉 列 表 框 中 选择 公共 钥匙 ,在 Password 文本 框 正确 输入 密码 , 最 后 单 击 Decrypt 
按钮 ， 在 弹出 的 图 7-25 所 示 的 Information 信息 框 中 单 击 OK 按钮 ， 就 完成 了 解密 。 
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图 7-21 


第 7 章 ”电子 邮件 的 安全 管理 


Information 


BD) re 
一 


图 7-24 图 7-25 


7.5 Exchange 邮件 服务 器 的 安全 配置 与 管理 


本 节 将 配置 一 个 Exchange 2000 邮件 服务 器 ， 使 之 成 为 一 个 安全 的 邮件 服务 器 。 作 为 
一 个 安全 的 邮件 服务 器 ， 最 好 是 专机 专用 。Exchange 是 通过 MMC 管理 控制 台 来 提供 管理 
的 ， 选 择 “ 开 始 ”一 “程序 ”一 Microsoft Exchange 一 System Manage 选项 ， 即 可 打开 管理 
控制 台 ， 如 图 7-26 所 示 。 


7-26 


在 这 个 控制 台中 主要 完成 以 下 几 方 面 的 管理 。 
。 Global Settings: 它 包含 三 个 方面 的 内 容 ， 如 图 7-27 所 示 。 


247 
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fe, Exchange System Manager 


图 7-27 


Instant Messaging Settings 定义 了 远程 信息 的 SMTP 信息 传递 格式 ， 可 以 通过 其 属性 对 
其 进行 相应 的 格式 定义 。 
Message Delivery 完成 邮件 服务 的 相应 设置; 
Intemet Message Formats 主要 设置 在 Intemet 上 的 信息 的 传输 格式 。 
。 Recipients: 收 件 人 的 管理 ， 如 图 7-28 所 示 ， 其 中 包含 了 组 收 件 人 、 所 有 的 地 址 列 
表 和 公共 文件 夹 等 收 件 人 。 在 这 里 完成 对 接收 的 定义 及 地 址 管理 。 


7-28 


。 Servers: 主要 是 对 服务 器 的 一 些 管理 工作 ， 在 此 例 中 是 对 DNS 及 相关 协议 ， 以 及 
邮箱 的 管理 ， 如 图 7-29 所 示 。 

。 Tools: 这 是 帮助 管理 邮件 服务 的 工具 ， 可 以 配置 带 邮件 服务 的 网 点 的 收 件 人 、 邮 
件 跟踪 服务 及 邮件 监控 工具 ， 如 图 7-30 所 示 。 
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7.5.1 收 件 人 的 创建 与 配置 


在 Exchange 2000 的 用 户 可 以 有 两 类 邮箱 的 配置 : 邮箱 允许 和 邮件 允许 。 在 每 创建 一 个 新 
用 户 时 就 会 自动 地 为 该 用 户 创建 一 个 邮箱 ， 可 以 对 这 个 邮箱 进行 配置 。 在 Exchange 中 有 4 类 
收 件 人 : 用 户 、 联 系 人 、 组 和 公用 文件 夹 ， 这 里 将 以 用 户 为 例 讲述 收 件 人 的 创建 与 配置 。 

1. 收 件 人 的 创建 

创建 的 具体 步骤 如 下 。 

(1) 选择 “开始 ”一 “程序 ”一 Microsoft Exchange 一 Active Directory Users and Computers 
一 Users 选项 ， 在 Users 容器 处 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 ” 一 “用 户 ” 命 令 ， 
打开 图 7-32 所 示 的 “新 建 对 象 -用 户 ” 对 话 框 。 


图 7-32 


(2) 在 对 话 框 中 完成 相应 文本 框 的 填写 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 图 7-33 所 示 的 
确认 密码 对 话 框 。 
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(3) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 图 7-34 所 示 的 创建 邮件 服务 的 邮箱 对 话 框 ， 在 其 中 选 
择 自己 的 别名 、 服 务 器 及 邮箱 的 存储 位 置 ， 也 可 采用 默认 值 。 


图 7-34 


(4) 单 击 “ 下 一 步 ”按钮 ， 打 开 图 7-35 所 示 的 完成 新 建 用 户 对 话 框 ， 单 击 “ 完 成 ” 按 
钮 ， 这 样 在 创建 用 户 的 同时 为 用 户 创建 了 一 个 邮箱 。 


2. 收 件 人 的 配置 


对 上 述 已 经 建成 的 gxh 用 户 的 邮箱 进行 配置 ， 右 击 用 户 名 ， 在 弹出 的 快捷 菜单 中 选择 
“属性 ”命令 ， 打 开 图 7-36 所 示 的 属性 对 话 框 。 

在 图 7-36 中 可 以 对 Delivery Restrictions、Delivery Options 和 Storage Limits 三 项 进行 
修改 ， 单 击 Delivery Restrictions 按钮 ， 将 出 现 图 7-37 所 示 的 Delivery Restrictions 对 话 框 ， 
在 此 可 以 设置 发 送信 息 字 节 的 大 小 、 接 收 信息 的 大 小 及 对 信息 的 接收 方式 ， 可 以 在 对 话 杠 
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中 指定 ， 也 可 以 采用 默认 值 。 


图 7-37 


当 单 击 Delivery Options 按钮 后 , 在 出 现 的 图 7-38 所 示 的 Delivery Options 对 话 框 中 可 
以 对 目的 地 址 、 收 件 人 限制 等 进行 修改 。 
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当 单 击 了 Storage Limits 按钮 后 ， 在 出 现 的 图 7-39 所 示 的 Storage Limits 对 话 框 中 ,可 
对 存储 及 删除 的 方式 进行 限制 。 


图 7-38 


7-39 


另外 ， 在 属性 中 还 可 以 对 E-mail Addresses、Exchange Features 和 Exchange Advanced 
选项 卡 等 进行 修改 。 
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对 于 E-mail Addresses 选项 卡 ， 可 以 为 邮箱 从 不 同 的 邮件 通信 地 址 中 接收 消息 进行 配 
置 ， 一 个 邮箱 对 同一 类 型 可 以 有 多 个 地 址 ， 如 图 7-40 所 示 。 


图 7-40 


在 图 7-41 所 示 Exchange Advanced 选项 卡 中 ， 可 以 通过 Custom Attributes、Protocol 
Settings、ILS Settings 和 MailBox Rights 按钮 进行 对 应 选项 的 设 定 。 


图 7-41 
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4 种 设置 对 应 的 选项 卡 分 别 如 图 7-42、 图 7-43、 图 7-44 和 图 7-45 所 示 ， 根 据 实际 所 
需 进 行 相应 配置 。 


Exchange Custom Attributes 


gxh 的 权限 


Delete nailbox storage 
Read pernissions 

Change pernissions 

Take ornership 

Pull mailbox access 
Associated external account 


图 7-44 


3. 过 滤 收 件 人 


选择 “开始 ”一 “程序 ”一 Microsoft Exchange 一 Active Directory Users and Computers 
选项 后 ， 再 选择 “查看 ”一 “筛选 器 选项 ”选项 ， 出 现 图 7-46 所 示 的 “筛选 器 选项 ”对 话 
框 ， 在 此 对 话 框 中 可 以 进行 筛选 ， 如 果 选 择 了 创建 “ 自 定义 筛选 器 ” 单 选 按钮 ， 则 出 现 图 
7-47 所 示 的 “查找 自 定义 搜索 ”对 话 框 ， 在 对 话 框 中 可 以 自己 定义 筛选 器 。 
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图 7-47 


7.5.2 ”Exchange Server 的 监控 

邮件 服务 器 的 监控 是 网 络 运行 成 功 的 关键 ， 所 以 经 常 使 用 一 些 工 具 来 完成 这 些 操作 。 
这 里 介绍 两 种 常用 的 工具 事件 浏览 器 和 系统 监视 器 。 

1， 事 件 浏览 器 


选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “事件 查看 器 ”选项 ， 将 出 现 图 7-48 所 示 
的 “事件 查看 器 ”对 话 框 。 


7-48 


事件 查看 器 中 共有 6 类 事件 的 日 志 : 应 用 程序 日 志 、 安 全 日 志 、 系 统 日 志 、Directory 
Service〈 目 录 服 务 ) 、DNS Server (DNS 服务 ) 和 文件 复制 服务 。 
在 日 志 中 有 5 种 事件 类 型 : 成 功 审核 、 错 误 、 信 息 、 警 告 和 审计 失败 ， 如 图 7-49 所 示 。 
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。 成 功 审计 : 指 一 次 安全 审计 访问 尝试 。 

。 错误 : 出 现 邮件 服务 没有 正确 启动 等 重大 问题 。 

。 信息 : 描述 成 功 操作 的 重要 事件 。 

。 审计 失败 : 指 一 次 安全 审计 访问 尝试 失败 。 

。 和 警告: 当前 系统 无 害 的 事件 ， 但 将 来 可 能 会 引发 问题 。 


2. Exchange 监视 器 


选择 “开始 ”一 “程序 ”一 Microsoft Exchange 一 System Manager-~~Tools 一 Monitoring and 
Status 选项 ， 打 开 图 7-50 所 示 Exchange System Manager 对 话 框 ， 这 就 是 Exchange 监视 器 。 


7-50 


使 用 Exchange 监视 器 , 网 络 管理 员 可 以 通过 邮件 服务 器 中 的 邮件 进行 管理 和 监视 , 它 
能 捕获 发 送出 的 和 发 送 到 本 邮件 服务 器 的 全 部 数据 的 帧 。 


计算 机 病毒 


21 世纪 计算 机 网 络 技术 飞速 发 展 ， 人 们 正在 享受 着 由 此 带 来 的 种 种 便利 。 然 而 由 于 种 
种 原因 ， 也 有 人 在 编制 各 种 各 样 的 计算 机 病毒 ， 给 人 们 的 正常 的 生活 和 工作 带 来 了 无 数 的 
麻烦 ， 甚 至 造成 了 不 可 挽回 的 损失 。 因 此 ， 了 解 和 掌握 有 关 计 算 机 病毒 的 知识 显得 越 来 越 
重要 了 。 

在 本 章 中 ， 将 详细 探讨 一 下 计算 机 病毒 的 基本 概念 、 种 类 、 破 坏 力 以 及 常见 病毒 的 分 
析 、 预 防 和 常用 杀毒 软件 的 使 用 。 


8.1 计算 机 病毒 概述 


谈 “ 毒 ” 色 变 并 不 为 过 ， 经 常 使 用 计算 机 的 人 大 部 分 都 受到 过 病毒 的 “恩泽 ”， 小 到 
数据 莫名 其 妙 的 丢失 ， 大 到 整个 计算 机 系统 瘫 病 ， 其 破坏 能 力 使 人 震惊 。 在 本 小 节 中 将 对 
计算 机 病毒 作 全 面 概 括 性 的 叙述 。 使 读者 有 全 面 而 翔实 的 理解 。 


8.1.1 计算 机 病毒 的 定义 


在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 明确 指出 : 计算 机 病毒 是 指 纺 
制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 响 计算 机 使 用 ， 并 能 自我 
复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

计算 机 病毒 的 特点 是 ， 它 是 人 为 的 特制 程序 ， 具 有 自我 复制 能 力 ， 很 强 的 感染 性 ,一 
定 的 潜伏 性 ， 特 定 的 触发 性 和 很 大 的 破坏 性 。 

计算 机 系统 的 信息 需要 存储 、 读 取 、 复 制 和 传送 ， 这 就 为 计算 机 病毒 的 传播 提供 了 
途径 ， 计 算 病 毒 就 会 伴随 着 计算 机 系统 的 正常 的 存储 、 读 取 、 复 制 、 传 送 而 繁殖 、 感 染 、 
破坏 。 

当今 的 计算 机 病毒 往往 利用 计算 机 操作 系统 自身 的 弱点 进行 攻击 和 传播 ， 提 高 计算 机 
系统 的 安全 性 是 防 病毒 的 一 个 非常 重要 方面 .病毒 与 反 病毒 将 作为 一 种 技术 对 抗 长 期 存在 ， 
两 种 技术 都 将 随 计算 机 技术 的 发 展 而 得 到 长 期 的 发 展 。 
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8.1.2 ”病毒 的 产生 


1) 最 早 的 计算 机 病毒 

计算 机 的 先驱 者 冯 。 诺 伊 曼 〈John Von Neumann) 这 个 名 字 对 每 一 个 学 过 计算 机 的 人 
都 不 陌生 。 他 不 仅 提 出 了 计算 机 的 结构 ,而 且 早 在 1949 年 第 一 商用 计算 机 出 现 之 前 好 几 年 ， 
在 他 的 一 篇 论文 《复杂 自动 装置 的 理论 及 组 织 的 进行 》 里 ， 已 经 勾勒 出 病毒 程序 的 蓝图 。 
不 过 在 当时 ， 绝 大 部 分 的 计算 机 专家 都 无 法 想象 会 有 这 种 能 自我 繁殖 的 程序 。 

计算 机 病毒 的 概念 来 自 一 场 游戏 。 1977 年 美国 著名 的 AT&T 贝尔 实验 室 中 , 三 个 年 轻 
的 程序 员 一 一 道格拉斯 。 麦 炊 莱 (Douglas Mcllroy )， 维 特 。 维 索 斯 基 (Victor Vysottsky ) 
及 罗伯特 。 莫 里 斯 (RobertT Morris)， 当 时 年 纪 都 只 有 二 十 多 岁 。 在 工作 之 余 ， 玩 一 种 游 
戏 : 彼此 撰写 出 能 够 吃 掉 别人 程序 的 程序 来 互相 作战 。 这 个 叫做 “ 磁 芯 大 战 core war) ” 
的 游戏 ， 进 一 步 将 计算 机 病毒 “感染 性 ”的 概念 体现 出 来 (Robert T. Morris 就 是 后 来 写 了 
一 个 蠕虫 病毒 ， 把 Intemet 搞 得 天 翻 地 履 的 那个 Robert T. Morris Jr. 的 爸爸 ， 当 时 的 Morris 
刚好 是 负责 Arpanet 网 路 安全 ) 。 

1982 年 匹兹堡 的 一 名 高 中 生 编写 了 一 个 恶作剧 程序 , 通过 软盘 在 苹果 机 的 操作 系统 中 
传播 ， 并 显示 一 首 牌 诗 。 这 个 名 为 ElkCloner 的 病毒 被 看 作 是 计算 机 领域 的 第 一 个 病毒 。 

而 Morris 是 第 一 个 通过 网 络 传播 的 计算 机 病毒 。 在 1988 年 11 月 2 日 由 麻 省 理工 学 院 
(MIT) 的 学 生 Robert Tappan Morris 撰写 。 该 病毒 总 共 仅 99 行程 序 代 码 ， 施 放 到 当时 网 络 
上 数 小 时 , 就 有 数 以 千 计 的 UNIX 服务 器 受到 感染 。 但 此 软件 原始 用 意 并 非 用 来 瘫痪 电脑 
而 是 希望 写作 出 可 以 自我 复制 的 软件 ， 但 程式 的 循环 没有 处 理 好 ， 使 得 服务 器 不 断 执 行 、 
复制 Momris， 最 后 死机 。 

2) 当今 流行 计算 机 病毒 的 产生 的 原因 

可 以 肯定 计算 机 病毒 完全 是 人 为 的 特制 程序 ， 所 有 的 计算 机 病毒 都 是 由 人 为 故意 编写 
的 ， 甚 至 多 数 病 毒 可 以 找到 开发 者 的 个 人 信息 。 

病毒 的 开发 者 编写 病毒 的 主要 情况 和 目的 有 以 下 几 种 。 

。 计算 机 专业 人 士 为 表现 自己 和 证 明 自己 的 能 力 而 编写 的 特殊 的 程序 ,如 CIH 病 毒 等 。 

。 对 上 司 或 社会 不 满 ， 为 了 满足 自己 的 报复 心理 ， 如 “熊猫 烧香 ”病毒 。 

。 处 于 对 自主 开发 的 软件 的 产权 保护 而 预 留 的 陷阱 。 

。 用 于 特殊 目的 。 为 了 达到 军事 目的 或 某 组 织 的 特殊 目的 ， 而 编写 的 破坏 性 程序 。 


8.1.3 ”计算 机 病毒 的 特征 


计算 机 病毒 的 种 类 很 多 ， 但 通过 病毒 代码 的 分 析 比 较 可 知 ， 它 们 的 结构 是 相似 的 ， 都 
包括 三 个 部 分 : 引导 部 分 、 传 染 部 分 和 表现 部 分 。 
引导 部 分 是 将 病毒 加 载 到 内 存 ， 作 好 传染 的 准备 ， 传 染 部 分 将 病毒 代码 复制 到 目标 ; 
表现 部 分 根据 特定 的 条 件 触发 病毒 。 概 括 讲 ， 计 算 机 病毒 具有 的 特征 为 如 下 几 点 。 
。 传染 性 : 计算 机 病毒 有 很 强 的 再 生机 制 ， 病 毒 程序 一 旦 加 到 运行 的 程序 体 上 ， 就 能 
感染 其 他 程序 ， 并 且 迅 速 扩 散 到 整个 计算 机 系统 ， 当 与 网 络 进行 数据 交换 时 ， 也 将 
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病毒 在 网 上 传播 。 

。 寄 生性， 病毒 依附 在 其 他 程序 体内 ， 当 该 程序 运行 时 病毒 就 进行 自我 复制 。 

。 潜伏 性 ， 计算机 病毒 入 侵 系 统 后 ， 一 般 不 立即 改作， 而 具有 一 定 的 潜伏 期 。 当 时 机 
成 熟 才 发 作 。 

。 隐蔽 性 ， 计 算 机 病毒 的 传播 都 没有 外 部 表现 ， 它 是 隐蔽 在 正常 程序 中 ， 另 外 ， 病 毒 
都 是 具有 很 高 编程 技巧 的 短小 精 悍 的 程序 ， 如 不 经 过 代码 分 析 ， 很 难 识别 正常 程序 
和 病毒 程序 之 间 的 区 别 ， 不 到 病毒 改作， 很 难 发 现 。 

。 破坏 性 ， 病毒 的 破坏 能 力 是 不 一 样 的 ， 有 的 占用 系统 资源 ， 有 的 造成 计算 机 硬件 损 
坏 ， 有 的 修改 或 删除 文件 及 数据 等 。 

8.1.4 ”病毒 的 分 类 


目前 对 计算 机 分 类 的 方法 有 很 多 ， 下 面 介绍 常见 的 分 类 方法 。 
1. 按 病毒 寡 生 方式 分 类 


根据 病毒 寄生 方式 分 类 ， 病 毒 可 分 为 网 络 型 病毒 、 可 执行 文件 型 病毒 、 引 导 型 病毒 及 
复合 型 病毒 。 
网 络 型 病毒 ; 通过 计算 机 网 络 传播 、 感 染 网 络 中 的 可 执行 文件 。 
可 执行 文件 型 病毒 : 主要 是 感染 可 执行 文件 。 被 感染 的 可 执行 文件 在 执行 的 同时 
病毒 被 加 载 并 向 其 他 正常 可 执行 文件 传染 。 
引导 型 病毒 ;主要 感染 软盘 、 硬 盘 的 引导 扇 区 或 主 引导 扇 区 ， 在 用 户 对 软盘 硬盘 进 
行 读 写 操作 时 进行 感染 。 
复合 型 病毒 : 不 仅 传染 可 执行 文件 而 且 还 传染 硬盘 引导 区 ， 被 这 种 病毒 传染 的 系统 
用 格式 化 命令 都 不 能 消除 此 类 病毒 。 


2， 按 病毒 的 破坏 后 果 分 类 


根据 病毒 破坏 的 能 力 可 划分 为 以 下 几 种 。 

。 良性 病毒 : 干扰 用 户 工作 ， 但 对 计算 机 系统 无 损 。 

。 恶性 病毒 : 这 类 病毒 删除 程序 、 破 坏 数 据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 的 
信息 。 

3. 按 病毒 的 发 作 条 件 分 类 

按 病 毒 的 发 作 条 件 分 为 以 下 几 种 。 

。 定时 发 作 型 : 具有 查询 系统 时 间 功 能 ， 当 系统 时 间 等 于 设置 时 间 时 ， 病 毒 发 作 。 

。 定数 发 作 型 : 具有 计数 器 ， 能 对 传染 文件 个 数 等 进行 统计 ， 当 达到 数值 时 ， 病 毒 
发 作 。 

。 随机 发 作 型 : 没有 规律 ， 随 机 发 作 。 

4. 按 连 接 方式 分 类 

。 源码 型 病毒 ; 主要 攻击 高 级 语言 编写 的 源 程序 。 
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。 入 侵 型 病毒 : 主要 攻击 特定 的 程序 ， 用 自身 替代 部 分 模块 或 堆栈 区 。 
。 操作 系统 型 病毒 : 主要 攻击 操作 系统 ， 用 自身 替代 操作 系统 功能 。 
。 外 壳 型 病毒 : 主要 是 附 在 正常 程序 的 开头 或 结尾 。 


8.1.5 ”计算 机 病毒 的 发 展 


从 计算 机 诞生 到 现在 ， 计 算 机 病毒 也 和 计算 机 发 展 一 样 经 历 了 几 个 阶段 ， 具 体 如 下 。 

1. DOS 引导 阶段 

计算 机 发 展 初期 ， 计 算 机 病毒 主要 是 指引 导 型 病毒 ， 引 导 型 病毒 利用 修改 启动 扇 区 而 
获得 对 计算 机 的 控制 权 。 

2. DOS 可 执行 阶段 

在 引导 型 阶段 之 后 ， 就 是 可 执行 病毒 和 复合 病毒 阶段 ， 这 种 可 执行 病毒 在 系统 执行 文 
件 取 得 控制 权 ， 然 后 感染 系统 的 可 执行 文件 (如 .exe、.bat 和 .com 类 可 执行 文件 )。 

3. 变 体 阶段 

这 个 时 期 有 许多 种 类 型 病毒 出 现 ， 主 要 为 生成 同文 件 名 的 伴随 型 文件 病毒 和 多 种 变 体 
的 病毒 。 

4. Windows 阶段 


随 着 视窗 在 个 人 PC 上 的 广泛 使 用 ， 感 染 它 的 病毒 日 渐 其 多 ， 主 要 是 利用 其 操作 系统 
的 保护 模式 及 API 调用 接口 及 相关 的 系统 漏洞 。 


5. 网 络 阶段 


随 着 网 络 的 普及 ， 网 络 已 经 成 为 病毒 的 最 佳 传播 途径 ， 大 部 分 的 病毒 借助 于 网 络 这 一 
现代 化 的 工具 而 迅速 在 全 世界 传播 ， 而 邮件 的 各 类 病毒 更 是 不 胜 枚 举 。 所 以 现在 的 病毒 都 
是 属于 网 络 阶段 的 病毒 。 


8.1.6 ”计算 机 病毒 的 破坏 现象 


知道 计算 机 病毒 出 现 的 特征 ， 才 能 更 好 地 查 杀 这 些 病毒 ， 下 面 介绍 常见 病毒 发 作 时 
计算 机 产生 的 相关 现象 。 
引导 时 死机 。 
引导 失败 。 
开机 运行 几 秒 后 突然 黑屏 。 
外 部 设备 无 法 找到 。 
计算 机 出 现 异 样 声 音 。 
计算 机 处 理 速度 明显 变 慢 。 
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。 系统 文件 字 节 变化 或 系统 日 期 发 生 改变 。 
。 驱动 程序 被 修改 。 

。 计算 机 经 常 死 机 或 重新 启动 。 

。 应 用 程序 不 能 进行 一 些 必要 操作 。 

。 系统 内 出 现 大 量 文件 垃圾 。 

。 文件 的 大 小 和 日 期 改变 。 

。 系统 的 启动 速度 慢 。 

。 键盘 、 打 印 、 显 示 有 异常 现象 。 

。 文件 突然 丢失 。 

。 系统 异常 死机 的 次 数 增加 。 


8.2 ”常见 的 几 种 病毒 及 其 查 杀 方法 
F 面 介绍 儿 种 常见 病毒 的 查 杀 方法 。 
8.2.1 CIH 病毒 


每 月 的 26 日 ， 是 CIH 病毒 的 发 作 日 ， 它 是 首 例 破 坏 计 算 机 系统 硬件 的 病毒 ， 是 一 种 
破坏 性 很 强 的 恶性 病毒 ， 该 病毒 的 核心 是 用 VXD (虚拟 设备 驱动 程序 ) 技术 编制 的 ， 具 有 
很 强 的 实用 性 和 隐蔽 性 。 另 外 ， 此 种 病毒 的 变 体 在 不 断 增加 ， 所 以 对 CIH 病毒 有 了 深刻 了 
解 ， 才 能 更 好 地 使 自己 的 系统 免 受 此 类 病毒 的 攻击 。 

CIH 病毒 感染 Windows 95/98/ME 等 操作 系统 的 可 执行 文件 ， 能 够 驻 留 在 计算 机 内 存 
中 ， 并 据 此 继续 感染 其 他 可 执行 文件 。CIH 的 危险 之 处 在 于 ， 一 旦 被 激活 ， 它 可 以 覆盖 主 
机 硬盘 上 的 数据 并 导致 硬盘 数据 丢失 。 并 且 它 还 具备 对 主机 BIOS 的 攻击 能 力 ， 使 计算 机 
无 法 引导 。 目 前 大 多 数 主板 仍然 使 用 EEPROM 作为 BIOS 芯片 ， 此 种 芯片 自身 没有 任何 安 
全 的 保护 措施 。 对 付 CIH 病毒 可 以 采用 以 下 两 种 方法 : 一 是 制作 BIOS 的 硬 备份 ， 即 使 用 
ROM 编程 器 备份 自己 的 BIOS; 二 是 软 备 份 ， 因 为 CIH 并 没有 改变 ROM 的 内 容 ， 而 只 是 
在 EEPRAMK 增加 了 1 个 字 节 ， 因 此 可 以 使 用 编辑 可 执行 文件 ， 恢 复 自己 的 BIOS。 共 体 
步骤 如 下 : 

首先 , 制作 一 张 DOS 系统 盘 ， 将 该 损坏 主板 相同 型 号 的 BIOS 和 刷新 文件 复制 到 系统 
盘 上 。 然 后 ,在 系统 盘 的 根 目 录 下 自动 批 处 理 文件 中 ,加 入 @ echo off, a:\AWARD.EXEX.BIN 
X， 这 里 的 X 代表 损坏 主板 的 BIOS 文件 名 。 这 样 将 使 用 系统 盘 重 新 引导 ， 一 般 都 能 恢复 
计算 机 的 BIOS 。 

此 外 ，CIH 病毒 还 向 硬盘 不 断 地 写 入 数据 ， 造 成 硬盘 原 有 数据 的 丢失 。 一 般 恢复 有 以 
下 两 种 方法 。 


1. 用 急救 盘 


对 于 被 破坏 的 硬盘 可 以 用 一 些 相关 杀毒 软件 的 紧急 恢复 来 完成 。 下 面 以 KILL 为 例 
讲述 如 何 恢复 硬盘 数据 : 
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。 恢复 第 一 个 逻辑 盘 。 第 一 个 通常 是 C 盘 ， 将 KILL 放 入 软驱 ， 进 入 急救 盘 菜 单 ， 选 
择 比较 修复 引导 区 ， 然 后 修复 〈 如 果 已 经 制作 过 急救 盘 ， 按 以 上 步骤 进行 操作 ;如 
果 没 有 制作 过 急救 盘 ， 那 么 需要 找 一 台 和 此 台 具 有 同样 配置 的 机 子 ， 制 作 一 张 急 
救 盘 )。 

。 可 以 用 NDD、Debug 类 工具 恢复 其 他 多 辑 盘 。 

另外 ，CIH 还 可 以 破坏 硬盘 ， 对 于 遭 到 破坏 的 主板 的 修复 可 以 做 如 下 处 理 : 

。 如 果 是 品牌 机 ， 与 厂家 联系 。 

。 如 果 是 兼容 机 ， 则 找到 一 个 相同 型 号 的 主机 ， 下 载 主板 厂家 提供 的 升级 文件 。 


2. CIH 的 手工 清除 


现 有 的 杀毒 软件 均 可 以 查 杀 CIH 病毒 ， 除 了 使 用 专业 杀毒 软件 之 外 ， 还 可 以 用 手工 的 
方式 清除 ， 方 法 如 下 : 

。 在 染 毒 文件 中 找 特征 字 串 。 

查找 SECC568BF0， 把 CC 改 为 90; 查找 SECCFB33DB， 把 CC 改 为 90。 

。 在 染 毒 文件 中 找 。 

查找 CD205300010083C420， 改 为 909090909090909090; 查找 CD2068004000， 改 为 
909090909090。 


8.2.2 ”木马 病毒 


木马 ， 又 名 特洛伊 马 〈Trojan)， 源 于 古 希 腊 的 特洛伊 马 神话 ， 传 说 希腊 人 围攻 特洛伊 
城 ， 一 直 未 果 ， 后 来 用 了 木马 计 ， 把 士兵 藏 于 木马 之 中 ， 其 他 军队 假装 撤离 而 将 木马 丢 于 
特洛伊 城下 ， 敌 人 将 木马 拖 入 城内 ， 木 马 内 的 士兵 从 木马 中 疏 出 与 城 外 的 军队 里 应 外 合 攻 
下 了 特洛伊 城 。 

木马 的 危害 性 在 于 对 计算 机 系统 强大 的 控制 和 破坏 能 力 ， 窃 取 密 码 、 控 制 系统 操作 、 
进行 文件 操作 等 ， 一 个 功能 强大 的 木马 一 旦 被 植 入 机 器 ， 攻 击 者 就 可 以 像 操作 自己 的 机 器 
一 样 控制 该 机 器 ， 甚 至 可 以 远程 监控 对 该 机 的 所 有 操作 。 


1. 木马 的 入 侵 


木马 由 客户 端 和 服务 器 端 两 个 执行 程序 组 成 ， 客 户 端 是 用 于 攻击 者 远程 控制 植 入 木马 
的 机 器 ， 服 务 器 端 程序 即 是 木马 程序 。 攻 击 者 要 通过 木马 攻击 计算 机 系统 ， 首 先 需 要 把 木 
马 程序 植 入 到 攻击 目标 的 计算 机 内 ， 一 般 通 过 下 载 和 匿名 邮件 等 方式 侵入 目标 计算 机 ， 木 
马 执行 文件 很 小 ,一般 以 K 字 节 为 单位 ， 所 以 在 下 载 或 收发 一 些 邮件 时 往往 下 载 了 木马 而 
不 会 察觉 。 另外 一 种 常见 的 入 侵 方式 是 通过 脚本 植 入 (如 Script、ActiveX 及 Asp、Cgi 等 )。 
由 于 应 用 软件 不 可 避免 地 存在 漏洞 ， 这 些 漏洞 就 是 攻击 者 的 目标 ， 如 Script 脚本 漏洞 对 浏 
览 者 硬盘 进行 格式 化 的 Html 页 面 等 。 


2. 木马 的 激活 
为 了 控制 入 侵 目标 计算 机 ,木马 要 激活 自己 而 自我 运行 。 激 活 的 方式 一 般 有 以 下 几 种。 
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1) 在 Win.ini 中 启动 

在 Win.ini 文件 的 [Windows] 字 段 中 的 启动 命令 Load= 和 Run= 一 般 都 为 室 , 如 果 其 后 面 
有 了 可 执行 文件 run=c:windowsX.exe, X 代表 文件 名 , 那 这 些 可 执行 文件 就 可 能 是 木马 程序 。 

2) 修改 文件 关联 

修改 文件 关联 是 木马 常用 手段 ， 关 联 大 家 都 知道 ， 当 双击 一 类 的 文件 名 ， 它 都 会 打开 
相应 的 应 用 程序 ， 如 双击 .txt 文件 ， 将 打开 记事 本 文件 。 那 么 木马 是 如 何 修改 关联 的 ? 它 
是 通过 修改 HKEY_CLASSES_ ROOTcomtfileshellopencommand 下 的 键 值 , 如 将 c:windowsn- 
otepa.exe%1 改 为 c:windowssystemsysexplrexe%1， 当 双击 一 个 文本 文件 ， 这 时 就 是 激活 木 
马 程序 ， 所 以 经 常 检查 HKEY_ CLASSES_ ROOT 中 的 文件 类 型 可 以 发 现 并 查 杀 木 马 病毒 。 

3) 捆绑 文件 

有 时 ， 木 马 程序 被 查 杀 ， 但 又 会 反复 出 现 ， 这 就 必须 考虑 它 已 经 和 某 类 应 用 程序 进行 
了 捆绑 ， 如 和 系统 文件 进行 了 捆绑 ， 那 么 每 次 启动 时 都 会 加 载 木马 程序 。 一 般 要 注意 以 下 
几 个 文件 。 

System.ini: 此 文件 在 Windows 的 安装 目录 下 ， 它 的 [boot] 字 段 为 shell=explorerexe， 
当 shell=explorer. 文 件 名 .exe 时 ， 通 常 这 个 文件 就 是 木马 程序 。 

System.ini: 此 文件 在 Windows 的 安装 目录 下 , 它 的 [386enh] 字 段 driver= 完 整 的 文件 名 
(包括 盘 符 、 路 径 、 文 件 名 )， 当 不 是 你 本 身 的 驱动 时 ， 通 常 这 个 驱动 就 是 木马 程序 。 

System.ini: 此 文件 在 Windows 的 安装 目录 下 ， 它 的 [micj[drivers][drivers32] 字 段 都 可 
以 捆绑 木马 程序 。 

所 以 随时 注意 此 系统 文件 ， 就 可 以 有 效 地 查 杀 木 马 病毒 。 

4) 利用 注册 表 

在 注册 表 中 所 有 以 Run 开头 的 键 值 ， 当 与 安装 时 的 注册 表 异 样 时 ， 一 定 要 注意 ， 这 通 
常 就 是 木马 程序 了 。 

5) 利用 自动 批 处 理 、 系 统 配置 文件 和 WINstarbat 

一 定 要 时 常 检 查 自己 的 自动 批 处 理 和 系统 配置 文件 ， 
防 患 于 未 然 。 


EI 
六 内 夫 视 则 


1) 检测 木马 病毒 前 的 准备 Ra 


局 对 
时 两 分 并 分 入行 阁 但 
全 县 示 再 部 分 但是 作 入 划一 六 件 则 和 各 理 
加 作为 划一 陈 件 旺 元 和 和 首 理 对 


。 Windows 设置 : 通过 修改 “我 的 电脑 ”一 “工具 ?” 
菜单 一 “文件 夹 选 项 ”一 “查看 ”选项 卡 一 “隐藏 a 


受 保护 的 操作 系统 文件 ”去 掉 前 面 选 项 钩 的 方法 ， a 
显示 隐 含 文件 。 如 图 8-1 所 示 。 一 ex 


。 选中 “显示 所 有 文件 和 文件 夹 ” 复 选项 ， 如 图 8-2 
所 示 。 

。 去掉 “隐藏 已 知 文件 类 型 的 扩展 名 ” 复 选 项 前 面 
的 钧 。 图 8-1 
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a 
六 利和 


Ey 


何 作用 刘 一 立 件 于 而 划 硬 和 


图 8-2 


如 果 这 时 仍然 不 能 看 到 隐藏 文件 , 说 明 病毒 已 经 修改 了 注册 表 。 这 种 现象 的 解决 办 法 是 : 

打开 注册 表 编 辑 器 ， 即 在 “开始 ”一 “运行 ”中 输入 regedit 后 按 回 车 键 ， 在 注册 表 中 
首先 找到 : HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ 
ExplorerAdvanced\FolderHidden\NOHIDDEN， 把 右边 框 中 有 两 个 项 目 CheckedValue 和 
DefaultValue 的 值 全 改 为 2。 

再 找到 : KEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ 
Exploren\Advanced\Folden\Hiddem SHOWALL， 把 CheckedValue 的 值 改 为 1，DefaultValue 
的 值 改 为 2， 或 者 这 两 个 值 都 改 为 1， 即 可 显示 隐藏 文件 了 。 

但 是 ， 如 果木 马 病毒 仍然 在 运行 ， 有 可 能 上 面 的 操作 会 被 木马 病毒 还 原 ， 使 得 注册 表 
修改 失效 。 如 果 是 这 样 ， 就 要 查看 系统 进程 了 。 

2) 手工 检测 木马 病毒 

对 应 木马 病毒 入 侵 和 激活 的 特点 ， 手 工 检测 木马 病毒 必须 具备 三 方面 的 知识 : 进程 、 
注册 表 和 服务 。 下 面 一 一 介绍 。 

首先 介绍 “进程 ”。 简 单 地 说 ， 进 程 是 程序 在 计算 机 上 的 一 次 执行 活动 。 当 一 个 程序 
在 运行 ， 系 统 就 启动 了 一 个 进程 。 进 程 可 以 分 为 系统 进程 和 用 户 进程 。 凡 是 用 于 完成 操作 
系统 的 各 种 功能 的 进程 就 是 系统 进程 ， 它 们 就 是 处 于 运行 状态 下 的 操作 系统 本 身 ; 用 户 进 
程 就 是 所 有 由 用 户 启动 的 进程 。 也 就 是 说 ， 进 程 是 操作 系统 当前 运行 的 执行 程序 。 在 系统 
当前 运行 的 执行 程序 里 包括 : 系统 管理 计算 机 本 身 和 完成 各 种 操作 所 必需 的 程序 ， 用 户 开 
启 、 执 行 的 额外 程序 ， 当 然 ， 也 就 可 能 包括 用 户 不 知道 ， 而 自动 运行 的 非法 程序 一 一 木马 
病毒 。 和 危害 较 大 的 可 执行 病毒 同样 以 “进程 ”形式 出 现在 系统 内 部 (一 些 病毒 可 能 并 不 直 
接 显示 在 进程 列表 中 , 如 “ 宏 病 毒 ” 但 是 可 以 通过 第 三 方 的 工具 , 将 隐藏 的 进程 显示 出 来 )， 
因此 及 时 查看 并 准确 杀 掉 非法 进程 对 于 手工 查 杀 各 类 木马 和 病毒 起 着 关键 性 的 作用 。 

举 一 个 例子 : svchostexe 这 个 进程 ， 大 家 应 该 都 知道 它 的 正确 的 路 径 应 该 是 在 
cwindows\system32\svchostexe。 也 就 是 说 ， 如 果 发 现 有 的 svchostexe 进程 其 路 径 不 是 这 
个 ， 那 么 就 有 99.9% 的 把 握 确 定 它 是 木马 病毒 了 。 如 果 它 的 进程 变 成 了 cwindows\ 
svchost.exe， 那 么 只 要 先 结束 或 终止 该 进程 ， 再 找到 该 进程 路 径 所 指 的 文件 cx\windows\ 
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svchost.exe 将 其 删除 ， 就 可 以 达到 清除 该 木马 病毒 的 目的 了 。 当 然 由 于 种 种 原因 ， 可 能 从 
任务 管理 器 中 无 法 看 到 此 进程 的 路 径 ， 或 者 结束 不 了 进程 ， 或 者 找 不 到 病毒 文件 ， 这 时 就 
要 借助 三 方 工具 了 一 一 可 以 查看 进程 路 径 的 软件 〈 冰 刃 、Dott 等 ) 。 既 然 在 进程 里 存在 ， 
而 按照 进程 路 径 却 找 不 到 文件 ， 那 么 病毒 肯定 做 了 手脚 ， 把 自身 设 为 隐 茂 文件， 而且 使 系 
统 不 能 显示 隐藏 文件 ， 这 里 就 用 到 了 前 面 介绍 的 准备 工作 的 知识 了 。 找 到 经 过 隐藏 的 病毒 
文件 后 删除 它 就 达到 了 清除 病毒 的 目的 。 

其 次 介绍 “注册 表 ”。 注 册 表 中 是 一 个 数据 库 ， 包 含 Windows 在 运行 期 间 不 断 引 用 
的 信息 ， 例 如 ， 每 个 用 户 的 配置 文件 、 计 算 机 上 安装 的 应 用 程序 以 及 每 个 应 用 程序 可 以 创 
建 的 文档 类 型 、 文 件 夹 和 应 用 程序 图 标的 属性 表 设 置 、 系 统 上 存在 的 硬件 以 及 正在 使 用 的 
端口 。 注 册 表 非常 复杂 ， 在 这 里 没有 必要 非常 深入 地 讨论 ， 但 是 要 手工 查 杀 病 毒 ， 至 少 应 
了 解 注册 表 中 那些 经 常 被 木马 和 病毒 利用 的 自 启动 项 。 可 以 通过 : “开始 ”一 “运行 ”一 regedit 
打开 注册 表 编辑 器 。 以 下 所 列 各 项 均 是 病毒 经 常 利 用 的 自 启动 项 : 

HKEY CURRENT _ USER\Software\Microsoft\Windows\CurrentVersion\Run 

HKEY CURRENT _USER\Software\Microsoft\Windows\CurrentVersion\Run* 

HKEY CURRENT _ USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\ run 

HKEY CURRENT _ USER\Software\Microsoft\Command Processor 

HKEY _ LOCAL MACHINE\SOFTWARE\Microsoftl\Windows\CurrentVersion\Run 

HKEY _ LOCAL MACHINE\SOFTWARE\Microsoftl\Windows\CurrentVersion\Run* 

HKEY_ LOCAL MACHINE\SOFTWARE\Microso 包 Windows\CurrentVersion\policies\ 

Explorervrun 

HKEY _ LOCAL MACHINE\SOFTWARE\Microsoftl\Windows NT\CurrentVersion\ 

Winlogon\userinit 

HKEY_LOCAL MACHINE\SOFTWARE\Microsoftl\Windows NT\CurrentVersion\ 

Winlogon\shell 

由 于 这 些 自 启动 项 随 着 计算 机 的 启动 而 被 加 载 ， 不 易 被 使 用 者 觉察 ， 病 毒 和 木马 正 是 
利用 非法 修改 或 添加 其 中 的 部 分 键 值 传 播 木马 病毒 的 。 

另外 ， 通 过 “开始 ”一 “程序 ”一 “启动 ”也 可 以 实现 程序 自 启动 。 

HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ 
ShellExecuteHooks 

这 一 项 也 可 以 被 病毒 利用 。 查 看 注册 表 中 的 这 些 控制 键 及 其 子 键 的 键 值 ， 是 非常 有 效 
的 木马 病毒 的 检测 方法 。 

再 次 就 是 系统 服务 。“ 灰 鸽子 ?病毒 (Backdoor.Huigezi) 就 是 利用 Windows NT/Windows 
XP 启动 的 。 目 前 “ 灰 铝 子 ”病毒 ， 由 于 隐蔽 性 强 而 有 了 非常 多 的 变种 ， 甚 至 专业 杀毒 软 
件 都 无 法 识别 和 查 杀 。 在 这 种 情况 下 ， 手 工 查 杀 就 显得 非常 有 效 了 ! 

灰 铝 子 木 马 分 两 部 分 : 客户 端 和 服务 端 。 黑 客 操纵 着 客户 端 ， 利 用 客户 端 配置 生成 出 
一 个 服务 端 程序 。 服 务 端 文件 的 名 字 默 认为 G_Server.exe， 然 后 黑客 通过 各 种 渠道 传播 这 
个 木马 。 可 以 将 它 与 一 张 图 片 绑 定 ， 也 可 以 建立 一 个 个 人 网 页 ， 诱 骗 用 户 点 击 ; 或 者 利用 
IE 漏洞 把 木马 下 载 到 用 户 的 机 器 上 并 运行 ; 还 可 以 将 文件 上 传 到 某 个 软件 下 载 站 点 ， 骗 用 
户 下 载 等 。 

一 旦 感染 灰 鸟 子 ，G_Server.exe 运行 后 将 自己 复制 到 Windows 安装 目录 下 ， 释 放出 
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G_Server.dll 和 G_Server_ Hook.dll 到 Windows 安装 目录 下 。G _Server.exe、G_Server.dll 和 
G_Server_ Hook.dll 三 个 文件 相互 配合 组 成 了 灰 铀 子 服务 端 , 还 有 的 变种 灰 鸽 子 会 多 释放 出 
一 个 名 为 G_ServerKey.dll 的 文件 用 来 记录 键盘 操作 。 但 是 有 的 变种 的 G_Server.exe 这 个 名 
称 变 得 不 固定 ， 它 被 重新 定制 了 。 例 如 ， 当 定制 服务 端 文件 名 为 X.exe 时 ， 生 成 的 文件 就 
是 X.exe、X.dll 和 X_Hookdll， 这 就 为 有 效 查 杀 它 增 加 了 难度 。 

Windows 目录 下 的 G_Server.exe 文件 将 自己 注册 成 服务 ， 每 次 开机 都 能 自动 运行 ， 同 
时 启动 G_Server.dll 和 G_Server_Hook.dll 并 自动 退出 。G_Server.dll 文件 实现 后 门 功能 , 与 
控制 端 客户 端 进行 通信 ; G_Server Hook.dll 则 通过 拦截 API 调用 来 隐藏 病毒 。 因 此 ， 中 毒 
后 ， 我 们 看 不 到 病毒 文件 ， 也 看 不 到 病毒 注册 的 服务 项 。 随 着 灰 铝 子 服务 端 文件 的 设置 不 
同 ,G_Server Hook.dll 有 时 候 附 在 Explorerexe 的 进程 空间 中 ,， 有 时 候 则 是 附 在 所 有 进程 中 。 
于 灰 铀 子 拦截 了 API 调用 ,在 正常 模式 下 木马 程序 文件 和 它 注 册 的 服务 项 均 被 隐藏 ， 
也 就 是 说 即使 设置 了 “显示 所 有 隐藏 文件 ”也 看 不 到 它们 。 此 外 ， 灰 饮 子 服务 端的 文件 名 
也 是 可 以 自 定义 的 ， 这 都 给 手工 检测 带 来 了 一 定 的 困难 。 
但 是 ， 通 过 仔细 观察 能 发 现 ， 对 于 灰 铝 子 的 检测 仍然 是 有 规律 可 循 的 。 从 上 面 的 运行 
原理 分 析 可 以 看 出 ， 无 论 自 定义 的 服务 器 端 文件 名 是 什么 ， 一 般 都 会 在 操作 系统 的 安装 目 
录 下 生成 一 个 以 X_hook.dll 结尾 的 文件 。 通过 这 一 点 , 可 以 准确 地 手工 检测 出 灰 饮 子 木马 。 
由 于 正常 模式 下 灰 铅 子 会 隐藏 自身 ， 因 此 检测 灰 铝 子 的 操作 一 定 要 在 安全 模式 下 进 
行 。 进 入 安全 模式 的 方法 是 : 启动 计算 机 ， 在 系统 进入 Windows 启动 画面 前 ， 按 下 F8 键 
(或 者 在 启动 计算 机 时 按 住 Ctrl 键 不 放 ), 在 出 现 的 启动 选项 菜单 中 , 选择 Safe Mode 或 “ 安 
全 模式 ”。 
于 灰 铝 子 的 文件 本 身 具 有 隐藏 属性 ， 因 此 又 要 用 到 前 面 讲 到 〈 显 示 隐 藏 文件 ) 的 准 
备 工 作 了 ， 如 图 8-3 所 示 。 

打开 Windows 的 “搜索 文件 ”, 文件 名 称 和 输入 _hook.dll， 搜 索 位 置 选择 Windows 的 安 
装 目录 ， 如 图 8-4 所 示 。 


EE 文人 四 | 代入 ( 去 看 WW) 收成 
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回 用 汀 名 时 未 加 宣 右 沁 的 mes 文件 El 


还 系 为 驮 六 值 ED) 


图 8-3 图 8-4 


经 过 搜索 , 可 在 Windows 安装 下 发 现 一 个 名 为 Game_Hook.dll 的 文件 , 如 图 8-5 所 示 。 
根据 灰 铝 子 原理 分 析 可 知 ， 如 果 Game_Hook.DLL 是 灰 鲍 子 的 文件 ， 则 在 Windows 安 
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装 目录 下 还 会 有 Game.exe 和 Game.dll 文件 。 打开 Windows 目录 ， 果 然 有 这 两 个 文件 ， 同 
时 还 有 一 个 用 于 记录 键盘 操作 的 GameKey.dll 文件 ， 如 图 8-6 所 示 。 
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图 8-6 


由 此 ， 可 以 确定 这 些 文件 是 灰 铝 子 木 马 了 ， 下 面 就 可 以 进行 手动 清除 。 
(1) 切换 到 系统 的 安全 模式 。 


(2) 清除 灰 铝 子 的 服务 。 
打开 注册 表 编辑 器 〈 单 击 “开始 ” 一 “运行 ”命令 ， 输 入 Regeditexe， 然 后 确定 ) ， 


找到 HKEY_ LOCAL MACHINE\SYSTEMNCurrentControlSet\Services 注册 表 项 。 
单 击 菜单 “编辑 ”一 “查找 ”命令 ， “查找 目标 ”输入 game.exe， 单 击 “ 确 定 ” 按 钮 ， 
就 可 以 找到 灰 铝 子 的 服务 项 即 Game_Server， 如 图 8-7 所 示 。 


ET 


删除 整个 Game_Server 项 。 


(3) 删除 灰 蚀 子 病毒 文件 。 
在 安全 模式 下 删除 Windows 目录 下 的 Game.exe、Game.dll、Game_Hook.dll 以 及 


Gamekey.dll 文件 ， 然 后 重新 启动 计算 机 。 至 此 ， 灰 饮 子 已 经 被 清除 干净 。 


8.2.3 ” 宏 病 毒 


宏 病 毒 就 是 使 用 Word 的 vba 编程 接口 编写 的 具有 病毒 特征 的 宏 集合 ， 它 危害 性 大 。 
它 以 二 进 制 文件 加 密 压缩 格式 存 入 .doc 或 .dot 文件 中 ， 通 过 Word 文档 或 模板 进行 大 量 自 
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我 复制 及 传染 。 一 旦 运行 宏 病毒 ， 相 应 的 Normal 模板 会 被 传染 ， 所 有 打开 的 Word 文档 都 
会 在 自动 保存 时 被 传染 。 宏 病毒 的 种 类 很 多 ， 版 本 也 各 不 相同 ， 为 了 能 查 杀 各 类 宏 病毒 ， 
关键 是 恢复 文件 参数 。 一 般 的 杀毒 软件 均 以 查 杀 宏 病 毒 。 


8.2.4 ”BO 黑洞 病毒 


BO (Backorifice ) 黑洞 病毒 是 通过 电子 邮件 进行 传播 的 ， 它 像 木 马 程序 一 样 ， 有 服务 
器 端 和 客户 端 程序 。 它 先 将 Boserve.exe 服务 器 端 程序 植 入 目标 计算 机 后 ，BO 程序 将 目标 
机 信息 发 回 ， 入 侵 者 通过 客户 端 来 控制 目标 机 ，Boserve.exe 首先 修改 目标 机 的 注册 表 ， 并 
自动 复制 到 System 目录 下 ， 将 原 Boserve.exe 删除 ， 用 自身 来 替代 。 用 户 在 使 用 时 ， 表 面 
上 没有 发 生变 化 ， 但 实质 上 ， 已 受到 BO 病毒 的 控制 。 

此 病毒 由 11 组 命令 组 成 ， 它 可 以 搜索 服务 器 端 人 P 地 址 ， 计 算 机 所 有 硬件 信息 、DIR、 
CD、RD、MD、COPY 和 DELETE 等 DOS 命令 从 目标 机 中 窃取 文件 资料 和 数据 等 ， 客 户 
端 程序 可 以 像 使 用 自己 的 计算 机 一 样 来 控制 客户 端 计算 机 。 用 最 新 的 查 杀 病毒 软件 能 清除 
BO 病毒 。 


8.2.5 ”邮件 病毒 


邮件 病毒 是 现代 网 络 发 展 的 不 可 避免 的 产物 ， 它 利用 网 络 这 并 不 安全 的 工具 大 量 传 
播 。 它 的 种 类 很 多 ， 给 电子 邮件 用 户 造成 了 很 大 损失 。 下 面 以 几 种 流行 的 邮件 病毒 为 例 ， 
让 读者 全 面 认识 邮件 病毒 ， 以 便 更 好 地 预防 。 


1. 美丽 杀手 


此 病毒 的 传染 的 对 象 是 Word 类 文件 ， 当 用 户 收 发 这 类 电子 邮件 时 ， 交 又 感染 。 一 般 
此 病毒 有 如 下 表现 。 
。 注册 表 : 此 病毒 首先 修改 注册 表 ， 加 入 如 下 语句 : 
HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?"= "…bykwvjibo"。 当 使 用 
Word 2000 时 ， 如 果 HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0WordSecurity 的 
level 的 值 不 为 0， 则 禁用 菜单 中 的 MACRO/SECURITY。 如 用 Word 97， 则 禁用 菜单 中 的 
TOOLS/MACRO., 
。 利用 VB 建立 OutLook 对 象 ， 从 全 域 地 址 表 中 获得 所 有 地 址 ， 将 病毒 自动 发 送 到 地 
址 中 的 前 50 个 邮箱 。 它 的 主题 为 InportanMessageForm- 等 , 所 以 对 于 标题 不 明 的 邮 
件 ， 用 户 最 好 不 要 随便 打开 。 
。 当 邮 件 被 打开 ，Word 系统 的 所 有 文件 将 被 传染 ， 当 系统 时 钟 的 时 间 与 日 期 相同 ， 病 
毒打 开 一 文件 ， 以 此 来 占用 整个 系统 资源 ， 甚 至 使 系统 瘫痪 。 


2. 求职 信 病 毒 


求职 信 利 用 微软 系统 的 漏洞 ， 可 以 自动 感染 ， 无 需 打 开 附件 ， 破 坏 力 更 强 ， 求 职 信 的 
变种 具有 很 强 的 隐蔽 性 ， 可 以 随时 自动 使 用 不 同 的 邮件 主题 和 内 容 ， 同 时 在 邮件 内 部 存放 
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发 送信 息 的 一 部 分 ， 变 种 病毒 会 伪造 虚假 信息 ， 掩 盖 病 毒 的 真实 来 源 ， 能 够 绕 开 一 些 流行 
杀毒 软件 的 监控 ， 甚 至 专门 针对 一 些 杀 毒 软件 进行 攻击 ， 除 开 可 以 在 网 络 上 利用 邮件 进行 
传播 外 ， 这 些 变 种 病毒 还 可 以 利用 局 域 网 上 的 共享 文件 夹 进行 传染 ， 因 此 对 于 某 些 不 能 查 
杀 局 域 网 共享 文件 病毒 的 单机 版 杀毒 软件 ， 这 将 意味 着 在 网 络 环境 下 ， 根 本 无 法 彻底 清除 
病毒 。 对 求职 信 病 毒 的 处 理 方法 如 下 : 

1) 安装 最 新 补丁 

补丁 下 载 地 址 : 

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp 

2) 病毒 清除 

(1) 在 Windows 95/98/ME 系统 下 的 清除 

先进 入 Windows 95/98/ME 系统 的 安全 模式 ， 使 用 注册 表 编辑 工具 regedit 将 网 络 蠕虫 
增加 的 键 值 删除 。 

HKEY _ LOCAL MACHINESoftwareMicrosoftWindowsCurrentVersionRun 和 HKEY 
LOCAL MACHINESystemCurrentControlSetServices 

要 删除 的 注册 表 项 目 是 wink-?.exe 的 键 值 。 同 时 还 必须 相应 地 将 Windows 的 SYSTEM 
目录 下 的 该 随机 文件 Wink-?.exe 删除 ， 注 意 ， 还 必须 将 回收 站 清空 。 删 除了 相应 的 病毒 文 
件 后 ， 可 以 重新 启动 计算 机 ， 然 后 ， 在 KVW3000、 人 金山 毒霸 的 安装 目录 下 执行 
KVD3000.EXE、kavRun.exe 来 清除 该 病毒 。 

(2) 在 Windows 2000/XP 系统 下 的 清除 

清除 方法 基本 和 Windows 95/98/ME 系统 下 的 清除 方法 相同 : 先 以 安全 模式 启动 计算 
机 ， 运 行 注册 表 编辑 工具 ， 同 样 删除 该 网 络 蠕虫 增加 的 键 值 : 

HKEY LOCAL MACHINESystemCurrentControlSetServices 

要 删除 病毒 增加 的 表 项 是 : wink 开头 的 随机 的 表 项 。 必 须 记 住 该 项 目的 具体 名 称 ( 虽 
然 是 随机 的 )， 然 后 在 系统 目录 下 将 该 文件 删除 。 注 意 该 文件 是 隐 含 的 ， 必 须 打开 显示 所 有 
文件 的 选项 才能 查看 该 病毒 文件 。 同 样 的 注册 表 项 还 有 HKEY_ LOCAL_MACHINE- 


SoftwareMicrosoftWindowsCurrentVersionRun 。 
3. 概念 病毒 


“概念 ”病毒 , 也 是 一 种 恶性 邮件 病毒 ， 它 通过 微软 IE 浏览 器 解释 Outlook 邮件 MIME 
头 的 漏洞 感染 和 传播 ， 此 病毒 可 以 在 用 户 收 邮件 的 时 候 不 知 不 觉 地 感染 用 户 的 机 器 ， 同 时 
利用 用 户 的 邮件 服务 器 向 外 传播 。 下 面 介绍 对 付 此 种 病毒 的 方法 。 

1) 安装 最 新 的 补丁 

最 新 补丁 的 下 载 地 址 是 : 

http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp 

2) 病毒 的 发 现 

首先 此 病毒 执行 自身 复制 到 TEMP 目录 下 ， 并 且 修改 Wininitini， 同 时 在 Windows 的 
System 目录 中 生成 Load.exe 文件 ， 把 System.ini 中 的 Shell=explorer.exe 改 为 shell= 
explorer.exe load.exe， 从 而 使 病毒 每 次 启动 系统 时 都 能 激活 该 病毒 ， 此 外 ， 在 系统 目录 中 
还 生成 一 个 副本 riched20.dll， 它 将 覆盖 原 Windows 系统 的 riched20.dll。 因 为 此 病毒 是 通过 
邮件 进行 感染 的 ， 它 使 用 MAPI 函数 读 取 用 户 的 E-mail 及 SMTP 地 址 和 E-mail 地 址 。 同 
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时 在 临时 目录 中 生成 eml 格式 的 临时 文件 ， 条 件 成 熟 后 ， 病 毒 就 用 取得 的 地 址 将 带 毒 邮件 
发 送出 去 。 
3) 利用 漏洞 检测 和 其 他 收 邮件 系统 
可 以 用 其 他 邮件 客户 端 软件 进行 代 收 ， 不 直接 进入 自己 的 邮箱 ，FoxMail 就 是 一 款 很 
好 用 的 邮件 客户 端 收取 软件 。 另 外 也 可 以 利用 漏洞 检测 软件 来 完成 ， 达 到 预防 的 目的 。 
可 以 到 http://www.sky.net.cn 下 载 天 网 防火 墙 ， 以 及 到 金山 的 http://www.iduba.net/ 
download/other/tool 010919 _concepthtm 下 载 工具 来 补 好 这 些 漏 洞 ， 从 而 达到 预防 邮件 病毒 
入 侵 的 目的 。 
4) 病毒 的 清除 
(1) Windows NT/2000/XP 清除 。 
。 结束 其 中 进程 名 称 为 X.tmp.exe 和 Load.exe 的 进程 文件 。 
。 删除 系统 temp 文件 夹 中 文件 长 度 为 57 344 字 节 的 文件 。 
。 删除 系统 System 文件 夹 中 的 长 度 为 57 344 字 节 的 Riched20.DLL 和 load.exe 文件 。 
。 打开 System.ini 文件 ,在 [load] 中 如 果 有 一 行 "shell=explorer.exe load.exe-dontrunold"， 
则 改 为 "shell=explorer.exe"。 
。 在 硬盘 区 的 根 目录 下 寻找 Admin.DLL 文件 ,如果 在 根 目 录 下 存在 该 文件 , 则 删除 它 。 
。 打开 “控制 面板 ”的 用 户 和 密码 图 标 ， 将 Administrator 组 中 的 guest 账号 删除 。 
。 把 C 盘 的 完全 共享 取消 掉 。 
。 搜索 整个 硬盘 , 把 所 有 readme.eml 的 文件 删除 , 这 时 在 没有 对 系统 进行 免疫 修复 前 ， 
不 要 单 击 任何 readme.eml 文件 ， 按 Ctrl+A 组 合 键 选取 全 部 readme.eml 文件 ， 删 除 
掉 ， 如 果 单 击 了 单个 readme.eml 文件 ,“ 概 念 ”病毒 将 利用 系统 漏洞 重新 运行 。 
(2) Win9x 的 清除 。 
。 重启 操作 系统 进入 到 安全 模式 。 
。 删除 系统 temp 文件 夹 中 文件 长 度 为 57 344 字 节 的 文件 。 
。 删除 系统 System 文件 夹 中 的 长 度 为 57 344 字 节 的 Riched20.DLL 和 load.exe 文件 。 
。 打开 System.ini 文件 ， 在 [load] 中 如 果 有 一 行 shell=explorer.exe load.exe， 则 改 为 
shell=explorer.exe。 
。 把 C 盘 的 完全 共享 取消 掉 。 
。 搜索 整个 硬盘 , 把 所 有 readme.eml 的 文件 删除 , 这 时 在 没有 对 系统 进行 免疫 修复 前 ， 
请 不 要 单 击 任何 readme.eml 文件 ， 按 Ctrl+A 组 合 键 选取 全 部 readme.eml 文件 ， 删 
除 掉 ; 如 果 单 击 了 单个 readme.eml 文件 ,“ 概 念 ”病毒 将 利用 你 的 系统 漏洞 重新 
运行 。 


避 


8.2.6 ”CodeRed 病毒 


CodeRed 病毒 及 其 变种 是 一 种 能 够 破坏 Windows 2000 的 安全 体系 ， 修 改 系统 的 文件 
并 且 安 装 木马 的 恶性 病毒 。 现 在 常见 的 是 红色 代码 2 病毒 ， 它 用 拒绝 服务 型 的 入 侵 方式 ， 
把 木马 程序 安装 在 服务 器 上 ， 然 后 用 客户 端 程序 来 控制 木马 程序 ， 它 传播 速度 快 ， 对 中 文 
操作 系统 的 破坏 能 力 很 大 ， 红 色 代码 蠕虫 只 感染 装 有 IIS 的 服务 器 ， 并 利用 其 本 身 和 漏洞 
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通过 网 络 进行 传播 。 入 侵 系 统 后 , 它 将 CMD.EXE 重 命名 为 root.exe, 将 其 复制 到 C 盘 和 D 
盘 的 \flinetpub 和 \flprogramfilesfiles 目录 下 。 人 然后， 病毒 开始 扫描 整个 网 络 ， 查 寻 攻 击 晶 
标 ， 用 存在 的 安全 漏洞 植 入 木马 程序 ， 即 在 C 盘 和 D 盘 的 根 目 录 下 生成 一 个 大 小 为 8192 
字 节 的 EXPLORER.EXE 木马 程序 ， 最 后 重启 系统 来 执行 木马 程序 。 

木马 程序 修改 注册 键 值 ， 并 创建 两 个 虚拟 HS 目录 C 和 DD， 分 别 映射 到 系统 的 C 盘 和 
D 盘 ， 而 这 些 虚 拟 目录 被 赋予 读 写 及 可 执行 权限 ， 这 样 木马 程序 通过 IS 向 所 有 黑客 提供 
了 对 被 感染 服务 器 C 盘 和 D 盘 的 完全 控制 能 力 。 然 后, 木马 程序 会 每 10min 重复 进行 以 上 
对 注册 表 项 的 修改 。 

它 的 传播 速度 很 快 ， 一 旦 进入 网 络 ， 就 会 在 所 有 拥有 IIS 服务 的 服务 器 上 传播 ， 发 出 
大 量 http 请 求 ， 从 而 使 网 络 进程 阻塞 ， 最 终 导致 整个 网 络 瘫痪 。 

对 付 此 类 病毒 的 方法 如 下 。 


1. 进行 入 侵 检测 

侦 测 网 络 流量 和 HTTP 服务 ， 找 到 通过 80 端口 发 送 HTTP 的 0 字 节 无 用 数据 包 的 机 
器 ， 进 而 找到 已 经 感染 木马 程序 的 Windows 2000/NT 的 机 器 。 

2. 安装 最 新 补丁 

下 载 网 址 : 

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms01- 
033.asp， 将 补丁 安装 在 Windows 2000/NT 系统 上 ， 修 补 IIS 系统 的 漏洞 。 


3. 清除 病毒 


。 删除 C:.exe 和 D:.exe 文件 。 

。 修改 注册 表 中 被 病毒 修改 的 键 值 HKLM=0xFFFFFF9D， 值 改 为 0。 

。 把 HKLMSVC 中 对 于 c:M0 和 d 的 完全 控制 键 删除 。 

。 删除 C 盘 及 D 盘 \flinetpub、\flprogramfilesfiles 目录 中 的 root.exe 文件 。 
。 重启 计算 机 。 


8.2.7 ”熊猫 烧香 


2006 年 下 半年 肆虐 网 络 的 “熊猫 烧香 ”病毒 ， 给 人 们 留 下 了 焉 梦 般 的 记忆 。 它 其 实 是 
一 种 蠕虫 病毒 一 一 尼 姆 亚 W (Worm.Nimaya.w) 的 变种 ， 而 且 是 经 过 多 次 变种 而 来 的 。 该 
病毒 还 有 一 个 别名 叫 “ 武 汉 男孩 ”， 它 是 首 例 造成 极 大 危害 的 “国产 ”病毒 。 由 于 中 毒 计算 
机 的 可 执行 文件 会 出 现 “熊猫 烧香 ”图 案 ， 所 以 也 称 为 “熊猫 烧香 ”。 

1.“ 熊 猫 烧香 ”病毒 的 危害 


(1) 被 感染 的 计算 机 可 能 会 出 现 蓝屏 、 频 繁重 启 以 及 系统 硬盘 中 数据 文件 被 破坏 等 
现象 。 
(2) 感染 系统 中 扩展 名 为 exe、com、pif、src、html 和 asp 的 文件 ， 而 且 它 还 能 中 止 
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大 量 的 反 病毒 软件 和 防火 墙 软件 进程 ， 并 且 会 删除 扩展 名 为 gho 的 文件 该 文件 是 当今 非 
常 流 行 的 系统 备份 工具 GHOST 的 备份 文件 )。 系统 中 所 有 exe 可 执行 文件 的 图 标 全 部 被 改 
成 熊猫 举 着 三 根 香 的 模样 。 

(3) 该 病毒 可 以 通过 局 域 网 传播 ， 进 而 感染 局 域 网 内 所 有 计算 机 系统 ， 最 终 导致 企业 
局 域 网 堵塞 甚至 瘫痪 。 


2.“ 能 猫 烧香 ”病毒 的 传播 途径 


(1) 在 用 户 的 浏览 器 地 址 栏 添加 病毒 网 址 ， 用 户 一 打开 这 些 网 页 文件 ，IE 就 会 自动 连 
接 到 指定 的 病毒 网 址 中 下 载 病毒 。 

(2) 在 硬盘 各 个 分 区 下 生成 文件 autorun.inf 和 setup.exe， 利 用 Windows 系统 的 自动 播 
放 功 能 来 运行 。 

(3) 通过 吕 盘 和 移动 硬盘 等 人 们 防范 意识 最 差 的 移动 存储 器 进行 传播 。 

(4) 还 可 以 通过 共享 文件 夹 、 系 统 弱 口令 等 多 种 方式 进行 传播 。 

(5) 该 病毒 会 在 中 毒 计算 机 中 所 有 的 网 页 文件 尾部 添加 病毒 代码 。 一 些 网 站 编辑 人 员 
的 计算 机 如 果 被 该 病毒 感染 ， 上 传 网 页 到 网 站 后 ， 就 会 导致 用 户 浏览 这 些 网 站 时 也 被 病毒 
感染 。 


3.“ 熊 猫 烧 香 ” 病 毒 的 查 杀 


现在 “熊猫 烧香 ”的 肆虐 似乎 已 经 渐渐 成 为 了 历史 ， 如 今 的 杀毒 软件 已 经 可 以 清除 大 
部 分 的 变种 ， 但 是 病毒 和 木马 对 我 们 的 威胁 丝毫 没有 减少 。 


8.2.8 ”常见 病毒 发 作 日 期 表 


1 月 1 日 BIGBANG 

1 月 1 日 ~9 月 21 日 PLASTIQUE(COBEL) 

1 月 5 日 BARROTES 

1 月 15 日 CASINO 

1 月 25 日 JERUSALEM(JANUARY25TH) 

2 月 1 日 ~2 月 29 日 VIENNA(BETABOYS) 
2 月 2 日 DARKAVENGER(AMILIA) 

2 月 23 日 SWEDISHBOYS(WHYWINDOWS) 
2 月 24 日 SWEDISHBOSS(WHYWINDOWS) 
2 月 25 日 SWEDISHBOSS(WHYWINDOWS) 
2 月 28 日 ZAPHOD 

3 月 1 日 ~3 月 31 日 FICH 

3 月 5 日 X-2(X-1&X-1B) 

3 月 6 日 MICHELANGELO 

3 月 14 日 ARALE 

3 月 15 日 MALTESEAMOEBA 
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3 月 25 日 MARCH25TH 

3 月 31 日 ~4 月 30 日 MORDOR.1110 

4 月 1 日 CASPER 

4 月 1 日 ~4 月 30 日 AKUKU(WIBUR3) 
4 月 1 日 ~6 月 30 日 MONTH4-6 

4 月 3 日 ~12 月 31 日 ITALIANBOY 

4 月 12 日 ARCVFRIENDS 

4 月 15 日 CASINO 

4 月 28 日 ARALE 

5 月 1 日 ~5 月 4 日 1210 

5 月 1 日 ~5 月 31 日 KTHULHU 

5 月 5 日 PS-MPC(CINCODEMARYO) 

5 月 13 日 ARALE 

5 月 17 日 ARALE 

6 月 6 日 JERUSALEM(SUB-ZEROB) 

6 月 12 日 JUNE12TH 

6 月 14 日 GREMLIN 

6 月 16 日 JUNE16TH 

6 月 17 日 ~12 月 31 日 JERUSALEM(JUNE17TH) 
6 月 26 日 DOSHUNTER 

6 月 28 日 CRAZYEDDIE 

7 月 1 日 ~7 月 31 日 ARCV330 

7 月 1 日 ~12 月 31 日 JERUSALEM(MENDOZA) 
7 月 4 日 VCL(BEVA96) 

7 月 13 日 JULY13TH 

7 月 15 日 ARALE 

7 月 26 日 JUL26TH 

8 月 15 日 CASINO 

8 月 16 日 AUGUSTI6TH 

8 月 31 日 BOMBER 

9 月 1 日 ~9 月 30 日 AIRCOP(AIRCOP-B) 
9 月 4 日 VIOLATOR(VIOLATORB1) 

9 月 8 日 RIP-699 

9 月 16 日 IT(VIVAMEXICO) 

9 月 20 日 ~12 月 31 日 PLASTIQUE 

9 月 22 日 ~12 月 31 日 4096 

10 月 1 日 ~12 月 31 日 4096 

10 月 4 日 VIOLATOR(VIOLATORB1) 
10 月 12 日 JERUSALEM(ANARKIA-B) 
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10 月 13 日 ~12 月 31 日 DATACRIME 
10 月 15 日 DARKEND 

10 月 23 日 KARIN 

10 月 28 日 ARAGORN 

10 月 30 日 GOTCHA(GOTCHA-MUT4) 
10 月 31 日 HALLOWEEN 

11 月 1 日 MALTESEAMOEBA 

11 月 4 日 VILATOR 

11 月 11 日 FLOWER 

11 月 12 日 TIMOR 

11 月 17 日 NOVEMBERI7TH 

11 月 17 日 ~12 月 31 日 NOV17-880 

11 月 18 日 TINYVIRUS(KENNEDY) 
11 月 24 日 PS-MPC 

11 月 30 日 SAMPO 

12 月 1 日 ~12 月 31 日 ANT 

辽 上 月 二 县 1253 

12 月 4 日 VIOLATORBI1 

12 月 7 日 VCL 

12 月 12 日 ARALE 

12 月 19 日 ~12 月 31 日 FATHER 

12 月 19 日 ~12 月 31 日 CHRISTMAS 
12 月 20 日 ~12 月 25 日 ARCVXMAS 
12 月 21 日 POEM 

12 月 24 日 ICELANDIC-II 

12 月 24 日 ~~12 月 31 日 WITCODE 
12 月 24 日 ~1 月 1 日 CHRISTMASTREE 
12 月 25 日 JAPANESECHRISTMAS12 月 28 日 ASH 
12 月 31 日 VIOLATORB2 


8.3 计算 机 病毒 的 防治 策略 


计算 机 病毒 的 防治 要 从 防毒 、 查 毒 和 解毒 三 方面 来 进行 ， 系 统 对 于 计算 机 病毒 的 实际 
防治 能 力 和 效果 也 要 从 防毒 能 力 、 查 毒 能 力 和 解毒 能 力 三 方面 来 评判 。 

“防毒 ”是 指 根据 系统 特性 ， 采 取 相 应 的 系统 安全 措施 预防 病毒 侵入 计算 机 。“ 查 毒 ” 
是 指 对 于 确定 的 环境 ， 能 够 准确 地 报 出 病毒 名 称 ， 该 环境 包括 ， 内 存 、 文 件 、 引 导 区 ( 含 
主 引导 区 ) 和 网 络 等 。“ 解 毒 ” 是 指 根据 不 同类 型 病毒 对 感染 对 象 的 修改 ， 并 按照 病毒 的 感 
染 特 性 所 进行 的 恢复 。 该 恢复 过 程 不 能 破坏 未 被 病毒 修改 的 内 容 。 感 染 对 象 包括 内 存 、 引 
导 区 〈 含 主 引导 区 )、 可 执行 文件 、 文 档 文 件 和 网 络 等 。 
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防毒 能 力 是 指 预 防 病毒 侵入 计算 机 系统 的 能 力 。 通 过 采取 防毒 措施 ， 应 可 以 准确 地 、 
实时 地 监测 预警 经 由 光盘 、 软 盘 和 硬盘 不 同 目录 之 间 ， 局 域 网 、 因 特 网 (包括 FTP 方式 、 
E-mail 和 HTTP 方式 ) 或 其 他 形式 的 文件 下 载 等 多 种 方式 进行 的 传输 ， 能 够 在 病毒 侵入 系 
统 时 发 出 警报 ， 记 录 携 带 病毒 的 文件 ， 即 时 清除 其 中 的 病毒 ， 对 网 络 而 言 ， 能 够 向 网 络 管 
理 员 发 送 关于 病毒 入 侵 的 信息 ， 记 录 病 毒 入 侵 的 工作 站 ， 必 要 时 还 要 能 够 注销 工作 站 ， 隔 
离 病毒 源 。 

查 毒 能 力 是 指 发 现 和 追踪 病毒 来 源 的 能 力 。 通 过 查 毒 应 该 能 准确 地 发 现 计算 机 系统 是 
否 感染 有 病毒 ， 准 确 查找 出 病毒 的 来 源 ， 并 能 给 出 统计 报告 ， 查 解 病毒 的 能 力 应 由 查 毒 率 
和 误 报 率 来 评判 的 。 

解毒 能 力 是 指 从 感染 对 象 中 清除 病毒 ， 恢 复 被 病毒 感染 前 的 原始 信息 的 能 力 。 解 毒 能 
力 应 用 解毒 率 来 评判 。 

第 一 代 反 病毒 技术 是 采取 单纯 的 病毒 特征 判断 ， 将 病毒 从 带 毒 文件 中 清除 掉 。 这 种 方 
式 可 以 准确 地 清除 病毒 ， 可 靠 性 很 高 。 后 来 病毒 技术 发 展 了 ， 特 别 是 加 密 和 变形 技术 的 运 
用 ， 使 得 这 种 简单 的 静态 扫描 方式 失去 了 作用 。 随 之 而 来 的 反 病毒 技术 也 向 前 发 展 了 。 

第 二 代 反 病毒 技术 是 采用 静态 广 谱 特 征 扫 描 方法 检测 病毒 ， 这 种 方式 可 以 更 多 地 检测 
出 变形 病毒 ， 但 另 一 方面 误 报 率 也 增 大 ， 尤 其 是 用 这 种 不 严格 的 特征 判定 方式 去 清除 病毒 
带 来 的 风险 性 很 大 ， 容 易 造 成 文件 和 数据 的 破坏 。 所 以 说 静态 防 病毒 技术 也 有 难以 克服 的 
缺陷 。 

第 三 代 反 病毒 技术 的 主要 特点 是 将 静态 扫描 技术 和 动态 仿真 跟踪 技术 结合 起 来 ， 将 查 
找 病 毒 和 清除 病毒 合 二 为 一 ， 形 成 一 个 整体 解决 方案 ， 能 够 全 面 实 现 防 、 查 、 消 等 反 病毒 
所 必 备 的 各 种 手段 ， 以 驻 留 内 存 方式 防止 病毒 的 入 侵 ， 凡 是 检测 到 的 病毒 都 能 清除 ， 不 会 
破坏 文件 和 数据 。 随 着 病毒 数量 的 增加 和 新 型 病毒 技术 的 发 展 ， 静 态 扫描 技术 将 会 使 查 毒 
软件 速度 降低 ， 驻 留 内 存 防毒 模块 容易 产生 误 报 。 

第 四 代 反 病毒 技术 则 是 针对 计算 机 病毒 的 发 展 而 基于 病毒 家 族 体系 的 命名 规则 ， 基 于 
多 位 CRC 校 验 和 扫描 机 理 ， 启 发 式 智 能 代码 分 析 模 块 、 动 态 数据 还 原 模块 (能 查 出 隐蔽 性 
极 强 的 压缩 加 密 文件 中 的 病毒 )、 内 存 解毒 模块 和 自身 免疫 模块 等 先进 的 解毒 技术 , 较 好 地 
解决 了 以 前 防毒 技术 顾此失彼 、 此 消 披 长 的 状态 。 

男 外， 现代 查 杀 病 毒 使 用 如 下 技术 。 

(1) 虚拟 执行 技术 : 通过 虚拟 执行 方法 可 以 对 付 加 密 、 变 形 和 压缩 型 病毒 ， 异 型 病毒 
生产 机 及 大 部 分 未 知 病毒 及 破坏 性 病毒 ， 如 现在 流行 的 虚拟 机 vmware 系列 。 因 为 虚拟 技 
术 在 查 杀 病 毒 过 程 中 是 在 内 存 中 模拟 出 一 个 指令 执行 机 器 ， 是 在 虚拟 环境 中 执行 ， 不 影响 
实际 的 文件 。 这 种 技术 是 一 种 很 好 用 的 技术 。 

(2) 宏 指 纹 技 术 : 此 项 技术 是 基于 Office 复合 文档 BIFF 格式 精确 查 杀 各 类 宏 病 毒 的 
技术 ， 它 可 以 查 杀 所 有 的 在 Office 文档 中 存在 的 可 知 的 和 未 知 的 宏 病毒 ， 并 且 可 以 修复 部 
分 被 破坏 的 Office 文档 。 

(3) VxD 技术 : Windows X 提供 的 操作 系统 底层 接口 技术 ，Windows X 将 操作 系统 从 
安全 性 角度 设计 为 ring0、ring3 两 个 级 别 ， 其 中 Ring0 属于 最 底层 的 访问 。 

此 外 ， 对 于 用 户 而 言 ， 一 般 对 付 病毒 还 应 该 注意 如 下 几 点 。 

。 不 要 随意 打开 来 历 不 明 的 邮件 或 附件 。 
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。 安装 最 新 的 防毒 软件 ， 并 随时 更 新 补丁 。 

。 对 常用 的 存储 介质 要 经 常 查 杀 病毒 。 

。 避免 在 本 机 上 使 用 某 些 共 享 的 系统 资源 ， 这 些 资源 可 能 携带 大 量 病 毒 。 
。 随时 定时 定期 备份 数据 。 


8.4 ”病毒 的 检测 方法 


对 系统 进行 病毒 检测 ， 病 毒 检测 的 方法 有 4 种 : 特征 代码 法 、 校 验 和 法 、 行 为 监测 法 
和 软件 模拟 法 。 


8.4.1 特征 代码 法 


特征 代码 法 早期 应 用 于 SCAN、CPAYV 等 著名 病毒 检测 工具 中 。 特 征 代 码 法 是 检测 已 
知 病毒 的 最 简单 、 开 销 最 小 的 方法 。 

它 首 先 采集 已 知 病毒 样本 ， 抽 取 特征 代码 。 抽 取代 码 时 要 长 度 适当 ， 除 注意 特征 代码 
的 独特 性 ， 还 要 注意 空间 和 时 间 的 开销 。 取 各 特征 代码 后 ， 把 其 归 入 病毒 数据 库 。 如 果 系 
统 又 检测 到 感染 病毒 ， 打 开 被 检测 文件 ， 检 查 文件 中 是 否 含有 病毒 数据 库 中 的 病毒 特征 代 
码 。 如 果 是 ， 则 可 知 病毒 的 种 类 及 特征 。 

特征 代码 法 的 优点 在 于 检测 准确 、 快 速 ， 可 识别 病毒 的 名 称 ， 误 报警 率 低 ， 依 据 检 测 
结果 ， 可 做 解毒 处 理 。 但 是 它 不 能 检测 未 知 病毒 、 搜 集 已 知 病毒 的 特征 代码 ， 费 用 开销 大 ， 
在 网 络 上 效率 低 ， 速 度 慢 。 并 且 不 能 检查 多 形 性 病毒 和 不 能 对 付 隐蔽 性 病毒 。 


8.4.2” 校 验 和 法 


校 验 和 法 是 将 正常 文件 的 内 容 ， 计 算 其 校 验 和 ， 将 该 校 验 和 写 入 文件 中 或 写 入 正常 文 
件 中 保存 。 在 文件 使 用 过 程 中 ， 定 期 地 或 每 次 使 用 文件 前 ， 检 查 文件 现在 内 容 算出 的 校 验 
和 与 原来 保存 的 校 验 和 是 否 一 致 ， 因 而 可 以 发 现 文件 是 否 感染 ， 这 种 方法 叫 校 验 和 法 ， 它 
既 可 发 现 已 知 病毒 又 可 发 现 未 知 病毒 。 在 SCAN 和 CPAV 工具 的 后 期 版 本 中 除了 病毒 特征 
代码 法 之 外 ， 还 纳入 校 验 和 法 ， 以 提高 其 检测 能 力 。 

该 方法 简单 ， 能 发 现 未 知 病毒 ， 被 查 文件 的 细微 变化 也 能 发 现 。 但 是 校 验 和 法 对 文件 
内 容 的 变化 太 敏感 ， 又 不 能 区 分 正常 程序 引起 的 变动 ， 从 而 频繁 报警 。 用 监视 文件 的 校 验 
和 来 检测 病毒 ， 不 是 最 好 的 方法 。 另 外 ， 校 验 和 法 在 软件 版 更 新 、 变 更 口令 、 修 改 运 行 参 
数 时 ， 都 会 误 报警 。 同 样 ， 校 验 和 法 对 隐蔽 性 病毒 无 效 。 


8.4.3 ”行为 监测 法 
利用 病毒 的 特有 行为 特征 性 来 监测 病毒 的 方法 ， 称 为 行为 监测 法 。 通 过 对 病毒 多 年 的 


观察 、 研 究 ， 有 一 些 行为 是 病毒 的 共同 行为 ， 而 且 比 较 特殊 。 在 正常 程序 中 ， 这 些 行为 比 
较 罕见 。 当 程序 运行 时 ， 监 视 其 行为 ， 如 果 发 现 了 病毒 行为 ， 立 即 报警 。 
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行为 监测 法 的 优点 在 于 可 发 现 未 知 病毒 ， 可 相当 准确 地 预报 未 知 的 多 数 病毒 。 但 是 可 
能 误 报警 ， 不 能 识别 病毒 名 称 ， 实 现 有 一 定 难度 。 


8.4.4 ”软件 模拟 法 


多 态 性 病毒 每 次 感染 都 变化 其 病毒 密码 ， 对 付 这 种 病毒 ， 特 征 代 码 法 失效 。 因 为 多 态 
性 病毒 代码 实施 密码 化 ， 而 且 每 次 所 用 密 钥 不 同 ， 把 染 毒 的 病毒 代码 相互 比较 ， 也 无 法 找 
出 相同 的 可 能 作为 特征 的 稳定 代码 。 虽 然 行为 检测 法 可 以 检测 多 态 性 病毒 ， 但 是 在 检测 出 
病毒 后 ， 因 为 不 知 病毒 的 种 类 ， 难 于 做 消毒 处 理 。 


8.5 ”常用 杀毒 软件 


在 病毒 和 反 病 毒 技 术 高 度 对 抗 的 今天 ， 杀 毒 软件 已 经 成 了 装机 的 必 备 软件 。 国 际 和 国 
内 的 优秀 杀毒 软件 非常 多 ， 它 们 各 有 各 的 特点 ， 各 有 各 的 长 处 ， 但 是 没有 一 种 杀毒 软件 可 
以 提供 绝对 安全 的 保障 。 作 为 用 户 可 以 根据 自己 的 需求 ， 结 合 各 种 杀毒 软件 的 特点 ， 参 考 
权威 专业 机 构 对 各 个 产品 的 测评 选择 适合 自己 的 反 病毒 产品 。 

下 面 简单 介绍 一 下 当今 国际 上 的 优秀 反 病毒 软件 。 

BitDefender 是 来 自 多 马 尼 亚 的 老牌 杀毒 软件 , 24 万 超大 病毒 库 , 具有 功能 强大 的 反 病 
毒 引 擎 及 因特网 过 滤 技 术 。 它 的 功能 包括 : 

(1) 永久 的 防 病毒 保护 。 

(2) 后 台 扫描 与 网 络 防火 墙 。 

(3) 保密 控制 。 

(4) 自动 快速 升级 模块 。 

(5) 创建 计划 任务 。 

(6) 病毒 隔离 区 。 

Kaspersky (卡巴 斯 基 ) 杀毒 软件 来 源 于 俄罗斯 ， 是 世界 上 最 优秀 、 最 顶级 的 网 络 杀毒 
软件 , 查 杀 病 毒性 能 远 高 于 同类 产品 。 卡巴 斯 基 杀 毒 软 件 具有 超 强 的 中 心 管理 和 杀毒 能 力 ， 
能 真正 实现 查 毒 杀毒 ， 提 供 了 一 个 广泛 的 抗 病毒 解决 方案 。 它 提供 了 所 有 类 型 的 抗 病毒 防 
护 ， 抗 病毒 扫描 仪 、 监 控 器 、 行 为 阻 断 、 完 全 检验 、E-mail 通路 和 防火 墙 。 它 支持 几乎 所 
有 的 普通 操作 系统 。 卡 巴 斯 基 软件 控制 所 有 可 能 的 病毒 进入 端口 ， 它 强大 的 功能 和 局 部 灵 
活性 以 及 网 络 管理 工具 为 自动 信息 搜索 、 中 央 安 装 和 病毒 防护 控制 提供 最 大 的 便利 和 最 少 
的 时 间 来 建构 抗 病毒 分 离 墙 。 卡 巴 斯 基 抗 病毒 软件 有 许多 国际 研究 机 构 、 中 立 测 试 实验 室 
和 工 出 版 机 构 的 证 书 ， 确 认 了 卡巴 斯 基 软 件 具有 汇集 行业 最 高 水 准 的 突出 品质 。 

F-Secure Anti-Virus 是 来 自 Linux 的 故乡 芬兰 的 杀毒 软件 , 集合 AVP、LIBRA、ORION 
和 DRACO 4 套 杀 毒 引 擎 ,其 中 一 个 就 是 Kaspersky 的 杀毒 内 核 ， 而 且 青 出 于 蓝 胜 于 蓝 ， 该 
软件 采用 分 布 式 防火 墙 技术 ， 对 网 络 流行 病毒 尤其 有 效 。 它 集成 了 多 个 病毒 监测 引擎 ， 如 
果 其 中 一 个 发 生 遗 漏 ， 就 会 有 另 一 个 去 监测 。 可 单一 扫描 硬盘 、 一 个 文件 夹 或 文件 ， 软 件 
更 提供 密码 的 保护 性 ， 并 提供 病毒 的 信息 。 

PC-cillin 是 来 自 台湾 的 杀毒 软件 ， 趋 势 科技 网 络 安 全 个 人 版 集 个 人 防火 墙 、 防 病毒 和 
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防 垃圾 邮件 等 功能 于 一 体 ， 最 大 限度 地 提供 对 桌面 机 的 保护 ， 且 并 不 需要 用 户 进行 过 多 的 
操作 。 在 用 户 日 常 使 用 及 上 网 浏览 时 ， 进 行 实时 的 安全 防御 监控 ;其 内 置 的 防火 墙 可 由 用 
户 因地制宜 地 设 定 ， 且 专业 主 控 式 个 人 防火 墙 及 木马 程序 损害 清除 还 原 技术 的 双重 保障 还 
可 以 拒绝 各 类 黑客 程序 对 计算 机 的 访问 请 求 。 趋 势 科技 全 新 研发 的 病毒 阻隔 技术 ， 包 含 主 
动 式 防毒 应 变 系统 以 及 病毒 扫描 则 辑 分 析 技术 ， 不 仅 能 够 精准 侦 测 病毒 藏匿 与 化 身 并 予以 
彻底 清除 ， 还 能 针对 特定 变种 病毒 进行 封锁 与 阻隔 ， 让 病毒 再 无 可 趁 之 机 ， 强 有 力 的 垃圾 
邮件 过 滤 功 能 可 全 面 封锁 不 请 自 来 的 垃圾 邮件 。 

国外 权威 的 防 病毒 软件 评测 给 了 ESET Nod32 很 高 的 分 数 , 在 全 球 共 获 得 超过 40 多 个 
奖项 ， 包 括 Virus Bulletin、PC Magazine、ICSA 和 Checkmark 认证 等 ， 是 全 球 唯一 通 
过 26 次 VB 100% 测试 的 防毒 软件 ,高 居 众 产品 之 榜首 。 它 的 产品 对 DOS、Windows 9x/Me、 
Windows NT/XP/2000、Novell Netware Server、Linux 和 BSD 等 ， 都 支持 。 它 可 以 对 邮件 
进行 实时 监测 ， 占 用 内 存 资源 较 少 ， 清 除 病毒 的 速度 效果 都 令 人 满意 。 

McAfee VirusScan 是 全 球 最 畅销 的 杀毒 软件 之 一 。 新 版 本 McAfee 防毒 软件 ， 除 了 更 
新 操作 界面 外 ， 还 将 该 公司 的 WebScanX 功能 整合 在 一 起 ， 增 加 了 许多 新 功能 。 除 了 帮 用 
户 侦 测 和 清除 病毒 , 它 还 有 VShield 自动 监视 系统 , 会 常 驻 在 System Tray， 当 用 户 从 磁盘 、 
网 络 、E-mail 文件 夹 中 开启 文件 时 便 会 自动 侦 测 文件 的 安全 性 ， 若 文件 内 含 病 毒 ， 便 会 立 
即 警 告 ， 并 作 适 当 的 处 理 ， 而 且 支 持 鼠 标 右键 的 快速 选单 功能 ， 并 可 使 用 密码 将 个 人 的 设 
定 锁 住 ， 让 别人 无 法 更 改 设 定 。 

Norton AntiVirus 是 一 套 强 而 有 力 的 防毒 软件 , 它 可 帮 用 户 侦 测 上 万 种 已 知 和 未 知 的 病 
毒 ， 并 且 每 当 开 机 时 ， 自 动 防护 便 会 常 驻 在 System Tray， 当 从 磁盘 、 网 路 和 E-mail 文档 
中 开启 档案 时 便 会 自动 侦 测 档案 的 安全 性 ， 若 档案 内 含 病毒 ， 便 会 立即 警告 ， 并 作 适 当 的 
处 理 。 另 外 ， 它 还 附 有 LiveUpdate 的 功能 ， 可 帮 用 户 自 动 连 上 Symantec 的 FTP Server 下 
载 最 新 的 病毒 码 ， 下 载 完 后 还 自动 完成 安装 更 新 的 动作 。 

AVG Anti-Virus 是 欧洲 有 名 的 杀毒 软件 ，AVG Anti-Virus System 功能 上 相当 完整 ， 可 
即时 对 任何 存 取 文件 进行 侦 测 ， 防 止 计 算 机 病毒 感染 ， 可 对 电子 邮件 和 附件 进行 扫描 ， 防 
止 计算 机 病毒 通过 电子 邮件 和 附件 传播 ， 病毒 资料 库 里 面 记录 了 一 些 计 算 机 病毒 的 特性 和 
发 作 日 期 等 相关 资讯 ， 开 机 保护 可 在 计算 机 开机 时 侦 测 开机 型 病毒 ， 防 止 被 开机 型 病毒 感 
染 。 在 扫 毒 方面 ， 除 可 扫描 磁 碟 片 、 硬 盘 、 光 盘 机 外 ， 也 可 对 网 络 磁 碟 进行 扫描 。 在 扫描 
时 也 可 只 对 磁 碟 片 、 硬 盘 和 光盘 机 上 的 某 个 目录 进行 扫描 。 可 扫描 文件 型 病毒 、 巨 集 病毒 
和 压缩 文件 (支持 ZIP、ARJ 和 RAR 等 压缩 文件 即时 解压 缩 扫 描 ) 。 在 扫描 时 如 发 现 文件 
感染 病毒 会 将 感染 病毒 的 文件 隔离 至 AVG Virus Vault, 待 扫描 完成 后 再 一 并 解毒 。 支持 在 
线 升级 。 现 在 提供 了 最 新 的 免费 版 供用 户 使 用 ， 安 装 之 前 先 去 官方 网 站 填 个 表 ， 从 回信 中 
得 到 一 个 序列 号 。AVG Anti-Virus 有 三 个 版 本 〈 专 业 、 服 务 器 和 免费 ) ， 其 中 有 个 人 非 营 
利 使 用 的 免费 版 本 ， 功 能 完整 ， 但 是 某 部 分 功能 是 无 法 设 定 的， 例如 扫 毒 排 程 上 只 能 每 天 一 
次 等 。 

CA Antivirus 就 是 反 病 毒 软件 eTrust EZ Antivirus， 它 已 经 获得 了 国际 计算 机 安全 协会 
(International Computer Security Association，ICSA) 的 认证 。ICSA 专门 负责 检测 和 认证 产 
品 抵御 病毒 及 恶意 代码 的 攻击 的 有 效 性 。 CA 公司 表示 , 在 ICSA 的 测试 中 , CA Antivirus 软 
件 甚至 连 In-The-Wild 恶性 病毒 也 可 以 100% 地 检测 出 来 。 新 版 本 采用 全 新 用 户 界面 , 更 加 
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易于 使 用 ， 其 新 的 文件 隔离 功能 可 有 效 防止 系统 文件 被 误 删 :新 版 本 改进 了 帮助 系统 ， 增 
强 了 内 动 系统 托盘 图 标 功能 。 

Norman Virus Control 是 欧洲 名 牌 杀毒 软件 , 为 了 确保 用 户 的 计算 机 系统 得 到 最 好 的 保 
护 ，Norman 数据 安全 系统 提供 了 多 种 防毒 工具 供用 户 选择 ， 以 满足 用 户 的 不 同 需要 。 此 
产品 结合 了 先进 的 病毒 扫描 引擎 、 启 发 式 分 析 技 术 以 及 宏 验证 技术 ， 可 有 效 查 杀 已 知 和 未 
知 病毒 。NVC 可 以 查 杀 所 有 类 型 的 病毒 , 包括 文件 和 引导 扇 区 病毒 而 无 需 使 用 杀毒 软件 重 
新 启动 开机 。 

上 面 介绍 的 杀毒 软件 一 部 分 有 了 汉化 版 ， 有 的 还 没有 进行 汉化 ， 非 专业 人 员 使 用 起 来 
就 不 太 方便 ， 而 且 病 毒 库 的 更 新 ， 软 件 的 升级 受到 一 定 的 网 络 限制 。 相 比 之 下 ， 国 产 的 杀 
毒 软件 ， 如 瑞星 系列 、 江 民 的 KV 系列 和 金山 毒霸 系列 等 杀毒 软件 ， 为 用 户 提供 了 更 加 友 
好 的 界面 和 更 加 及 时 的 更 新 服务 ， 而 且 功能 也 非常 强大 。 


8.6 计算 机 病毒 的 防范 技巧 


计算 机 技术 的 快速 发 展 ， 使 得 计算 机 病毒 技术 与 计算 机 反 病毒 技术 的 对 抗 越 来 越 尖 
锐 。 据 统计 ， 现 在 基本 上 每 天 都 要 出 现 几 十 种 新 病毒 ， 其 中 很 多 病毒 的 破坏 性 都 非常 大 ， 
稍 有 不 慎 ， 就 会 给 计算 机 用 户 造成 严重 后 果 。 

防 患 于 未 然 是 最 好 的 方法 ， 其 实 ， 病 毒 也 只 是 一 段 程序 ， 只 要 注意 提高 防范 意识 ， 做 
好 相应 的 防护 措施 ， 一 般 情 况 下 是 不 会 受到 病毒 侵害 的 。 

对 于 已 知 的 病毒 和 木马 ， 一 般 在 很 短 的 时 间 内 各 大 防毒 软件 商 就 会 提供 相应 的 查 杀 功 
能 ， 用 户 要 做 的 仅仅 是 及 时 升级 杀毒 软件 和 防火 墙 软件 。 

对 于 未 知 病毒 也 不 必 害 怕 ! 通过 前 面 讨论 可 知 ， 所 有 的 病毒 和 木马 无 论 其 危害 大 还 是 
小 ， 也 无 论 隐藏 手段 多 么 高 明 ， 都 有 共同 的 特点 ， 即 按照 “病毒 入 侵 一 潜伏 并 感染 一 发 作 ” 
的 过 程 破坏 用 户 的 系统 。 用 户 所 担心 的 是 病毒 发 作 后 的 破坏 后 果 ， 实 际 上 在 此 之 前 用 户 有 
很 多 机 会 可 以 利用 有 效 的 方法 避免 或 者 把 危害 减少 到 最 小 。 具 体 方法 如 下 。 


1. 提高 防范 意识 切断 病毒 入 侵 途 径 


。 时 刻 保持 操作 系统 获得 最 新 的 安全 更 新 ， 特 别 是 微软 的 MS06-014 漏洞 ， 应 及 时 打 
好 该 漏洞 补丁 。 

。 提高 系统 管理 员 口 令 的 安全 级 别 〈 采 用 大 小 写 加 特殊 符号 的 组 合 口令 )。 

。 采用 系统 本 身 的 安全 策略 。 

。 不 要 轻易 打开 来 历 不 明 的 文件 及 邮件 程序 。 

。 对 外 来 的 软盘 、U 盘 和 移动 硬盘 等 移动 存储 介质 要 随时 查 毒 。 

不 要 随意 访问 来 源 不 明 的 网 站 。 

在 网 络 上 下 载 一 切 资料 时 ， 一 定 要 先 做 病毒 扫描 ， 然 后 下 载 。 

。 一 定 要 减少 机 内 共享 资料 。 


2. 积累 经 验 及 早 察觉 潜伏 的 病毒 威胁 
计算 机 如 果 出 现 8.1.5 节 所 列 的 计算 机 病毒 的 破坏 现象 中 的 一 项 或 几 项 ， 用 户 就 应 该 
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提起 注意 了 ， 如 果 升 级 了 杀毒 软件 之 后 仍然 不 能 解决 问题 ， 那 就 需要 结合 8.2.2 节 木马 病 
毒手 工 检测 的 方法 进行 检测 判断 ， 尽 早 发 现 病毒 隐患 才能 最 大 限度 地 保护 系统 的 安全 。 
3. 运用 技术 手段 查找 和 判定 病毒 的 存在 尽快 清除 可 能 的 病毒 


发 现 高 疑似 病毒 后 ， 要 想 清除 病毒 文件 应 该 做 好 系统 备份 ， 然 后 运用 8.2.2 节 木 马 病 
毒手 工 清除 的 方法 进行 清除 。 如 果 清 除 无 效 ， 应 该 尽快 向 病毒 防护 网 站 报告 可 疑 文件 ， 寻 
求 帮助 。 


防火 墙 安全 管理 


现代 网 络 安全 服务 一 般 有 两 种 ， 一 是 存 取 控制 ， 禁 止 非法 的 通信 和 联网 ， 二 是 通信 安 
全 服务 ， ei ta 性 、 可 靠 性 ， 上 共有 对 同 级 通信 者 的 访问 否定 权 。 当 用 户 连 上 
Internet， 就 可 在 中 间 插 入 一 个 或 几 个 中 介 系统 的 控制 关联 ， 防 止 通 过 网 络 进行 的 攻击 ， 并 
提供 单一 的 安全 和 审计 的 安装 控制 点 ， 这 些 中 间 系 统 就 是 防火 墙 。 由 于 Intemet 的 开放 性 ， 
网 络 安全 技术 变化 很 大 , Internet 的 安全 技术 包括 传统 的 网 络 安全 技术 和 分 布 式 网 络 安全 技 
术 ， 主 要 技术 是 解决 如 何 利用 Internet 进行 安全 通信 ， 同 时 保护 内 部 网 络 免 受 外 部 攻击 。 
而 防火 墙 正 能 实现 这 些 技术 。 

防火 a -种 被 动 的 防御 技术 ， -类 防范 措施 的 总 称 ， 是 保护 计算 机 网 络 安全 技术 
性 措施 之 一 ， -种 隔离 控制 技术 ， 在 内 部 专用 网 和 外 部 网 络 问 设置 保 : 护 ， 防 止 对 信息 资 
源 的 非 授权 访问 ， 防火 墙 也 是 目前 在 网 络 安全 技术 中 使 用 最 多 、 最 广泛 的 ， 因 此 有 必要 在 
网 络 安 全 管理 中 专门 来 讲述 。 


9.1 防火 墙 概述 


防火 增 (firewall) ， 是 现代 网 络 安全 技术 中 最 常用 的 技术 ， 它 对 内 部 网 络 与 外 部 网 络 
(包括 Internet 等 ) 之 问 的 通信 量 进行 筛选 ， 符 合 标准 的 分 组 将 被 正常 转发 ， 不 能 通过 检查 
的 分 组 就 被 丢弃 。 设 置 防火 墙 ， 就 形 同 装置 一 个 防盗 门 。 一 般 的 防火 墙 有 两 个 组 成 部 分 : 
两 个 分 组 筛选 器 〈 路 由 器 ) 和 一 个 应 用 程序 网 关 ， 其 示意 图 如 图 9-1 所 示 。 
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分 组 过 滤 路 由 器 ”应 用 网 关 ”分 组 过 滤 路 由 器 
图 9-1 


防火 墙 是 用 来 保护 由 许多 台 计 算 机 组 成 的 大 型 网 络 ， 防 火 墙 可 以 是 非常 简单 的 过 滤 
器 ， 也 可 能 是 精心 配置 的 应 用 网 关 ， 但 它们 的 原理 是 一 样 的 ， 都 是 监测 并 过 滤 所 有 通 向 外 
部 网 和 从 外 部 网 传 来 的 信息 ， 防 火 墙 保护 着 内 部 敏感 的 数据 不 被 偷窃 和 破坏 ， 并 用 日 志 记 
录 通 信 发 生 的 时 间 和 操作 。 防 火 墙 通常 是 运行 在 一 台 计算 机 中 的 软件 ， 它 可 以 识别 并 屏蔽 
非法 的 请 求 。 

防火 墙 是 设置 在 被 保护 网 络 和 外 部 网 络 之 间 的 一 道 屏障 ， 以 防止 发 生 不 可 预测 的 、 有 
潜在 破坏 性 的 侵入 。 它 可 通过 监测 、 限 制 和 更 改 跨越 防火 墙 的 数据 流 ， 尽 可 能 地 对 外 部 屏 
珊 网 络 内 部 的 信息 、 结 构 和 运行 状况 ， 以 此 来 实现 网 络 的 安全 保护 。 


9.1.1 防火墙 的 特点 


防火 墙 已 经 成 为 网 络 的 首选 ， 它 的 广泛 应 用 与 它 的 特点 有 紧密 的 联系 ， 防 火 墙 具 有 如 
下 特点 : 

。 广泛 的 服务 支持 。 防 火 墙 动态 地 将 应 用 层 过 滤 能 力 和 认证 相 结 合 ， 可 以 实现 应 用 层 
的 大 部 分 服务 (如 WWW 服务 、HTTP 服务 和 FTP 服务 等 ) 。 

。 数据 的 加 密 支持 。 保 证 通过 Internet 进行 虚拟 专用 网 络 和 电子 商务 不 受 损坏 。 

。 防 电子 欺骗 。 欺 骗 是 从 外 部 获取 网 络 访问 权 的 常用 手段 ， 它 使 数据 包 好 似 来 自 网 络 
内 部 。 防 电子 欺骗 功能 是 保证 数据 包 的 IP 地 址 与 网 关 接 口 相符 ， 防 止 通过 修改 IP 
地 址 的 方法 进行 非 授权 访问 。 防 火 墙 能 监视 过 滤 数 据 包 ， 欺 骗 的 数据 包 将 被 过 滤 。 

。 过 滤 不 安全 服务 和 非法 用 户 。 

。 控制 对 特殊 站 点 的 访问 。 

。 提供 了 监视 Internet 安全 和 预警 的 方便 端点 。 

。 防火 墙 能 强化 安全 策略 。 

。 防火 墙 能 有 效 地 记录 Internet 上 的 活动 ;作为 访问 的 唯一 点 ， 防 火 墙 能 在 被 保护 的 
网 络 和 外 部 网 络 之 间 进 行 记 录 。 

。 防火 墙 限制 暴露 用 户 点 〈 所 以 现在 一 般 使 用 应 用 代理 服务 器 ) 。 


9.1.2 ”实现 防火 墙 的 技术 


实现 防火 墙 的 主要 技术 有 数据 包 过 滤 、 应 用 网 关 、 代 理 服务 、 卫 通道 、 隔 离 域名 服务 
器 和 网 络 地 址 转换 器 等 相关 技术 ， 分 别 介绍 如 下 。 


1. 包 过 滤 技 术 〈Packet Filter) 


包 过 滤 是 在 网 络 层 中 对 数据 包 进行 有 选择 的 通过 。 依 据 系统 内 事先 设 定 的 过 滤 邮 辑 ， 
检查 数据 流 中 每 个 数据 包 后 ， 根 据 数据 包 的 源 地 址 、 目 的 地 址 、 所 用 的 TCP 端口 与 TCP 
链 路 状态 等 因素 来 确定 是 否 允 许 数据 包 通 过 。 

包 过 滤 是 在 IP 层 实现 的 ， 因 此 ， 它 可 以 只 用 路 由 器 完成 。 包 过 滤 根 据 包 的 源 卫 地 址 、 
目的 耳 地 址 、 源 端口 、 目 的 端口 及 报 文 传递 方向 等 报头 信息 来 判断 是 否 允 许 报 文通 过 。 现 
在 也 出 现 了 一 种 可 以 分 析 报 文 数据 区 内 容 的 智能 型 包 过 滤器 。 包 过 滤器 的 应 用 非常 广泛 ， 
因为 CPU 用 来 处 理 包 过 滤 的 时 间 可 以 忽略 不 计 。 而且 这 种 防护 措施 对 用 户 透 明 , 合法 用 户 
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在 进出 网 络 时 ， 根 本 感觉 不 到 它 的 存在 ， 使 用 起 来 很 方便 。 

包 过 滤 有 一 个 很 关键 的 弱点 是 不 能 在 用 户 级 别 上 进行 过 滤 ， 即 不 能 识别 不 同 的 用 户 和 
防止 IP 地 址 的 盗用 。 如 果 攻 击 者 把 自己 主机 的 也 地 址 设 成 一 个 合法 主机 的 他 地 址 ,就 可 
以 很 轻易 地 通过 报 文 过 滤器 。 

包 过 滤 技术 作为 防火 墙 的 应 用 有 三 类 : 

。 路 由 设备 在 完成 路 由 选择 的 数据 转发 之 外 ， 同 时 进行 包 过 滤 ， 这 是 目前 较 常 用 的 方式 。 

。 在 工作 站 上 使 用 软件 进行 包 过 滤 ， 但 是 此 方式 价格 较 贵 。 

。 在 一 种 称 为 屏蔽 路 由 器 的 路 由 设备 上 启动 包 过 滤 功 能 。 


2. 应 用 网 关 技术 (Application Gateway) 


应 用 网 关 技 术 是 利用 网 络 应 用 层 上 的 协议 过 滤 。 它 针对 特别 的 网 络 应 用 服务 协议 即 数 
据 过 滤 协 议 ， 并 且 能 够 对 数据 包 分 析 并 形成 相关 的 报告 。 应 用 网 关 对 某 些 易于 登录 和 控制 
所 有 输入 输出 的 通信 的 环境 给 予 严 格 控 制 ， 以 防 有 价值 的 程序 和 数据 被 窃取 。 在 实际 工作 
中 ， 应 用 网 关 一 般 由 专用 工作 站 系统 来 完成 。 


3. 代理 服务 (Proxy Server) 


代理 服务 是 设置 在 Internet 防火 墙 网 关 的 专用 应 用 级 代码 。 这 种 代理 服务 准许 网 管 员 
允许 或 拒绝 特定 的 应 用 程序 或 一 个 应 用 的 特定 功能 。 包 过 滤 技术 和 应 用 网 关 是 通过 特定 的 
迪 辑 判断 来 决定 是 否 允 许 特定 的 数据 包 通 过 ， 一 旦 判断 条 件 满足 ， 防 火 墙 内 部 网 络 的 结构 
和 运行 状态 便 “ 暴 露 ”在 外 来 用 户 面 前 ， 这 就 引入 了 代理 服务 的 概念 ， 即 防火 墙 内 外 计算 
机 系统 应 用 层 的 “链接 ”由 两 个 终止 于 代理 服务 的 “链接 ”来 实现 ， 这 就 成 功 地 实现 了 防 
火 墙 内 外 计算 机 系统 的 隔离 。 同 时 ， 代 理 服务 还 可 用 于 实施 较 强 的 数据 流 监 控 、 过 滤 、 记 
录 和 报告 等 功能 。 代 理 服务 技术 主要 通过 专用 计算 机 硬件 〈 如 工作 站 ) 来 承担 。 代 理 服 务 
器 则 是 代表 网 络 内 部 用 户 的 代理 者 ， 它 实际 上 是 一 个 应 用 层 上 的 网 关 。 当 用 户 使 用 TCP/IP 
应 用 时 ,给 Proxy (代理 ) 提供 合法 身份 和 授权 信息 ，Proxy 就 和 被 访问 主机 联系 ， 并 在 两 
个 通信 点 之 间 中 继 传递 IP 数据 包 。IP 包 处 理 的 过 程 对 用 户 是 透明 的 。 代 理 服务 器 一 般 包 
括 以 下 几 种 。 

(1) 应 用 代理 服务 器 (Application Gateway Proxy) 

这 种 防火 墙 是 在 网 络 应 用 层 提供 授权 检查 及 代理 服务 。 例 如 ， 当 外 部 某 台 主 机 试图 访 
问 (如 Telnet) 受 保护 网 时 ， 它 必须 先 在 防火 墙 上 经 过 身份 认证 。 通 过 身份 认证 后 ， 防 火 
墙 运行 一 个 专门 为 Telnet 设计 的 程序 ， 把 外 部 主机 与 内 部 主机 连接 。 在 这 个 过 程 中 ， 防 火 
墙 可 以 限制 用 户 访问 的 主机 、 访 问 时 间 及 访问 的 方式 。 同 样 ， 受 保护 网 络 内 部 用 户 访问 外 
部 网 时 也 须 先 登录 到 防火 墙 上 ， 通 过 验证 后 ， 才 可 使 用 Telnet 或 FTP 等 有 效 命令 。 

应 用 网 关 代理 的 优点 是 既 可 以 隐藏 内 部 IP 地 址 , 也 可 以 给 单个 用 户 授权 , 即使 攻击 者 
盗用 了 一 个 合法 的 他 地 址 , 他 也 通 不 过 严格 的 身份 认证 。 因此 应 用 网 关 比 报 文 过 滤 具 有 更 
高 的 安全 性 。 但 是 这 种 认证 使 得 应 用 网 关 不 透明 ， 用 户 每 次 连接 都 要 接受 验证 ， 这 给 用 户 
带 来 许多 不 便 ， 而 且 这 种 代理 技术 需要 为 每 个 应 用 写 专门 的 程序 。 

(2) 回路 级 代理 服务 器 

也 就 是 通常 所 说 的 “一 般 ” 代 理 服 务 器 ， 它 适用 于 多 个 协议 ， 但 它 不 能 解释 应 用 协议 ， 


需要 通过 其 他 方式 来 获得 信息 ， 所 以 ， 回 路 级 代理 服务 器 通常 要 求 修改 过 的 用 户 程序 。 

套 接 字 服务 器 (Sockets Server) 就 是 回路 级 代理 服务 器 。 套 接 字 〈Sockets) 是 一 种 网 
络 应 用 层 的 国际 标准 。 当 受 保护 网 络 客户 机 需要 与 外 部 网 交互 信息 时 ， 在 防火 墙 上 的 套 接 
字 服 务 器 检查 客户 的 UserID、IP 源 地 址 和 IP 目的 地 址 ， 经 过 确认 后 ， 套 接 字 服务 器 才 与 
外 部 的 服务 器 建立 连接 。 对 用 户 来 说 ， 受 保护 网 与 外 部 网 的 信息 交换 是 透明 的 ， 感 觉 不 到 
防火 墙 的 存在 ， 那 是 因为 网 络 用 户 不 需要 登录 到 防火 墙 上 。 但 是 客户 端的 应 用 软件 必须 支 
持 Sockets fired API ( 套 接 字 层 防火 墙 应 用 程序 接口 ) ， 受 保护 网 络 用 户 访问 公共 网 所 使 用 
的 了 瑟 地 址 也 都 是 防火 墙 的 瑟 地 址 。 


4. IP 通道 (IP Tunnels) 


当 两 个 相关 的 网 络 相 隔 很 远 , 要 通过 Internet 通信 的 情况 下 , 可 以 采用 IP Tunnels 来 防 
止 Internet 上 的 入 侵 者 截取 信息 ， 实 质 是 建立 虚拟 专用 网 。 试 分 析 一 下 其 工作 原理 。 

子 网 A 中 一 主机 (IP 地 址 为 X.X.X.X) 和 欲 向 子 网 B 中 某 主机 (IP 地 址 为 Y.Y.Y.Y) 发 
送 报 文 ， 该 报 文 经 过 本 网 防火 墙 FW1 (IP 地 址 N.N.N.1) 时 ， 防 火 墙 判 断 该 报 文 是 否 发 往 
子 网 B， 若 是 ， 则 再 增加 一 报头 ， 变 成 从 此 防火 墙 到 子 网 B 防火 墙 FW2 (N.N.N.2) 的 IP 
报 文 ， 而 将 原 IP 地 址 封装 在 数据 区 内 ， 同 原 数 据 一 起 加 密 后 经 Internet 发 往 FW2。FW2 
接收 到 报 文 后 ， 若 发 现 源 IP 地 址 是 FW1 的 ， 则 去 掉 附 加 报头 ， 解 密 ， 在 本 网 上 传送 。 从 
Internet 上 看 ,就 只 是 两 个 防火 墙 的 通信 。 即 使 黑客 伪装 了 从 FWi1 发 往 FW2 的 报 文 ， 由 于 
FW2 在 去 掉 报 头 后 不 能 解密 ， 会 抛弃 报 文 。 


5. 网 络 地 址 转换 器 (NAT Network Address Translate ) 


当 受 保护 网 连 到 Intemet 上 时 ， 受 保护 网 用 户 若 要 访问 Intemet， 必 须 使 用 一 个 合法 的 
耳 地 址 。 但 由 于 合法 Internet IP 地 址 有 限 ,而 且 受 保护 网 络 往往 有 自己 的 一 套 人 P 地 址 规划 
( 非 正式 IP 地 址 ) 。 网 络 地 址 转换 器 就 是 在 防火 墙 上 装 一 个 合法 PP 地 址 集 。 当 内 部 某 一 用 
户 要 访问 Intemet 时 ， 防 火 墙 动态 地 从 地 址 集中 选 一 个 未 分 配 的 地 址 分 配给 该 用 户 ， 该 用 
户 即 可 使 用 这 个 合法 地 址 进行 通信 。 同 时 ， 对 于 内 部 的 某 些 服务 器 如 Web 服务 器 ， 网 络 地 
址 转换 器 允许 为 其 分 配 一 个 固定 的 合法 地 址 。 外 部 网 络 的 用 户 可 通过 防火 墙 来 访问 内 部 的 
服务 器 。 这 种 技术 既 缓解 了 少量 的 人 P 地 址 和 大 量 的 主机 之 间 的 矛盾 , 又 对 外 隐藏 了 内 部 主 
机 的 也 地 址 ， 提 高 了 安全 性 。 


6. 隔离 域名 服务 器 (Split Domain Name Server) 


这 种 技术 是 通过 防火 墙 将 受 保护 网 络 的 域名 服务 器 与 外 部 网 的 域名 服务 器 隔离 ， 使 外 
部 网 的 域名 服务 器 只 能 看 到 防火 墙 的 卫 地 址 , 无 法 了 解 受 保护 网 络 的 具体 情况 ,这 样 可 以 
保证 受 保护 网 络 的 IP 地 址 不 被 外 部 网 络 知悉 。 


9.2 防火墙 的 类 型 


总 的 来 讲 防火 墙 的 类 型 有 如 下 几 种 ， 网 络 级 防火 墙 ( 包 括 包 过 滤 防 火 墙 )、 应 用 级 网 
关 、 电 路 级 防火 墙 以 及 状态 监视 器 等 。 
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9.2.1 网 络 级 防火 墙 


网 络 级 防火 墙 是 基于 源 地 址 和 目的 地 址 、 应 用 或 协议 以 及 每 个 耳 包 的 端口 来 作出 通过 
与 否 的 判断 。 一 个 路 由 器 便 是 一 个 “传统 ”的 网 络 级 防火 墙 ， 大 多 数 的 路 由 器 都 能 通过 检 
查 这 些 信 息 来 决定 是 否 将 所 收 到 的 包 转 发 , 但 它 不 能 判断 出 一 个 IP 包 来 自 何方 , 去 向 何 处 。 

网 络 级 防火 墙 可 以 判断 这 一 点 ， 它 可 以 提供 内 部 信息 以 说 明 所 通过 的 连接 状态 和 一 些 
数据 流 的 内 容 ， 把 判断 的 信息 同 规则 表 进 行 比较 ， 在 规则 表 中 定义 了 各 种 规则 来 表明 是 否 
同意 或 拒绝 包 的 通过 。 包 过 滤 防 火 墙 检查 每 一 条 规则 直至 发 现 包 中 的 信息 与 某 规 则 相符 。 
如 果 没 有 一 条 规则 能 符合 ， 防 火 墙 就 会 使 用 默认 规则 ， 一 般 情况 下 ， 默 认 规 则 就 是 要 求 防 
火 墙 丢弃 该 包 。 另 外 ， 通 过 定义 基于 TCP 或 UDP 数据 包 的 端口 号 ， 防 火 墙 能 够 判断 是 否 
允许 建立 特定 的 连接 ， 如 Telnet、FTP 连接 。 

网 络 级 防火 墙 的 访问 控制 规则 举例 : 

。 允许 网 络 202.206.197.0 使 用 FTP 〈 端 口号 为 21) 访问 主机 202.206.197.1。 

。 允许 IP 地 址 为 202.103.1.18 和 202.103.1.14 的 用 户 Telnet (端口 号 为 23) 到 主机 

202.206.197.2 上 。 

。 允许 任何 地 址 的 E-mail (端口 号 为 25) 进入 主机 202.206.197.3 。 

。 允许 任何 WWW 数据 (端口 号 为 80) 通过 。 

。 不 允许 其 他 数据 包 进入 。 

网 络 级 防火 墙 简洁 、 速 度 快 、 费 用 低 ， 并 且 对 用 户 透 明 ， 但 是 对 网 络 的 保护 很 有 限 ， 
因为 它 只 检查 地 址 和 端口 ， 对 网 络 更 高 协议 层 的 信息 无 理解 能 力 。 在 网 络 级 防火 墙 中 使 用 
最 典型 的 是 数据 包 过 滤 防 火 墙 。 

数据 包 过 滤 防 火 墙 

数据 包 过 滤 (Packet Filtering) 技术 是 在 网 络 层 对 数据 包 进 行 选 择 ， 如 图 9-2 所 示 ， 选 
择 的 依据 是 系统 内 设置 的 过 滤 则 辑 ， 称 为 访问 控制 表 (Access Control Table) 。 通 过 检查 


数据 流 中 每 个 数据 包 的 源 地 址 、 目 的 地 址 、 所 用 的 端口 号 和 协议 状态 等 因素 ， 或 它们 的 组 
合 来 确定 是 否 人 允许 该 数据 包 通过 。 


外 部 网 络 上 一 二 一 | 数据 包 过 滤 防 火 墙 上 一 中。 内 部 网 络 


图 9-2 


在 Internet 上 都 使 用 数据 包 交 换 数 据 ， 网 络 上 的 所 有 信息 都 按照 一 定 的 协议 规则 分 割 
成 不 同 大 小 的 数据 包 ,数据 包 中 含有 发 送 者 的 他 地 址 和 接收 者 的 IP 地 址 .数据 包 在 Internet 
上 传递 时 ， 路 由 器 会 根据 数据 包 的 全， 在 路 由 表 中 选择 一 条 路 径 把 数据 包 发 送 到 目的 人 P， 
数据 包 过 滤 防 火 墙 会 自动 检查 所 有 通过 数据 包 的 人 P 地 址 , 按照 此 防火 墙 的 过 滤 规 则 对 数据 
包 进 行 过 滤 ， 如 果 防 火 墙 认定 这 个 卫 不 适合 ， 防 火 墙 会 自动 屏蔽 掉 这 类 数据 包 。 
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数据 包 过 滤 防 火 墙 一 般 作为 第 一 道 网 络 防护 的 防线 ， 它 速度 快 并 且 对 于 用 户 是 透明 
的 ， 但 是 如 果 网 络 只 是 用 单一 的 数据 包 过 滤 防 火 墙 来 防护 ， 那 是 很 危险 的 。 因 为 入 侵 者 将 
用 信息 包 冲击 以 及 同步 淹没 等 手段 来 攻击 这 样 的 防火 墙 ， 造 成 整个 内 部 网 络 的 暴露 及 服务 
器 的 死 锁 。 


9.2.2 ”应 用 级 网 关 防 火 墙 


应 用 级 网 关 防 火 墙 你 也 许 不 熟悉 ， 它 的 别名 是 代理 服务 器 。 这 种 防火 墙 有 较 好 的 访问 
控制 ， 是 目前 最 安全 的 防火 墙 技术 ， 但 它 对 用 户 是 不 透明 的 ， 用 户 在 受信 任 的 网 络 上 通过 
防火 墙 访问 Intemet 时 ， 经 常会 发 现存 在 延迟 并 且 必 须 进行 多 次 登录 (login) 才能 访问 
Internet 或 内 联网 的 问题 。 应 用 级 防火 墙 应 用 于 特定 的 Internet 服务 , 如 HTTP、NNTP、 FTP 
和 Telnet 等 。 代 理 服务 器 通常 运行 在 两 个 网 络 之 间 ， 它 对 于 客户 来 说 就 像 是 一 台 真 的 服务 
器 一 样 ， 而 对 于 外 界 的 服务 器 来 说 ， 它 又 是 一 台 客户 机 。 当 代理 服务 器 接受 到 用 户 的 请 求 
后 ， 会 检查 用 户 请 求 的 站 点 是 否 符合 要 求 ， 如 果 人 允许 用 户 访问 该 站 点 ， 代 理 服务 器 会 去 那 
个 站 点 取 回 所 需 信 息 再 转发 给 客户 。 代 理 服 务 器 通常 都 拥有 一 个 高 速 缓 在， 这 个 缓存 内 有 
用 户 经 常 访 问 站 点 的 内 容 ， 在 下 一 个 用 户 要 访问 同样 的 站 点 时 ， 服 务 器 就 用 不 着 重复 地 去 
抓 同样 的 内 容 ， 既 节约 了 时 间 也 节约 了 网 络 资源 。 代 理 服 务 器 会 像 一 堵 真 的 墙 那 样 挡 在 内 
部 用 户 和 外 界 之 间 ， 从 外 面 只 能 看 到 代理 服务 器 而 看 不 到 任何 的 内 部 资源 ， 诸 如 用 户 的 IP 
等 。 应 用 级 网 关 比 单一 的 包 过 滤 更 为 可 靠 ， 而 且 会 详细 地 记录 下 所 有 的 访问 记录 。 但 是 应 
用 级 网 关 的 访问 速度 慢 ， 因 为 它 不 允许 用 户 直接 访问 网 络 。 而 且 应 用 级 网 关 下 要 对 每 一 个 
特定 的 互联 网 服务 安装 相应 的 代理 服务 软件 ， 用 户 不 能 使 用 未 被 服务 器 支持 的 服务 ， 它 的 
效率 不 如 网 络 级 防火 墙 。 

常用 的 应 用 级 防火 墙 的 相应 代理 服务 器 ， 例 如 HITP、NNTP、FTP、Telnet、rlogin 和 
X-window 等 ， 但 是 ， 对 于 新 开发 的 应 用 ， 尚 没有 相应 的 代理 服务 ， 它 们 将 通过 网 络 级 防 
火 墙 和 一 般 的 代理 服务 。 


9.2.3 ”电路 级 网 关 防 火 墙 


电路 级 网 关 用 来 监控 受信 任 的 客户 或 服务 器 与 不 受信 任 的 主机 间 的 TCP 握手 信息 , 这 
样 来 决定 该 会 话 〈session) 是 否 合法 。 电 路 级 网 关 在 OSI 模型 中 会 话 层 上 过 滤 数 据 包 ， 这 
样 比 包 过 滤 防 火 墙 要 高 二 层 。 

实际 上 电路 级 网 关 并 非 作为 一 个 独立 的 产品 存在 ， 它 与 其 他 的 应 用 级 网 关 结 合 在 一 
起 ， 如 Trust Information Systems 公司 的 Gauntlet Internet Firewall。DEC 公司 的 Alta Vista 
Firewall 等 产品 。 另 外 ， 电 路 级 网 关 还 提供 一 个 重要 的 安全 功能 代理 服务 器 (Proxy 
Server) 。 代 理 服务 器 是 个 防火 墙 ， 在 其 上 运行 一 个 叫做 “地 址 转移 ”的 进程 ， 将 所 有 公 
司 内 部 的 人 P 地 址 映射 到 一 个 “安全 ”的 人 P 地 址 ， 这 个 地 址 是 由 防火 墙 使 用 的 。 但 是 ， 作 
为 电路 级 网 关 也 存在 着 一 些 缺 陷 ， 因 为 该 网 关 是 在 会 话 层 工作 的 ， 它 无 法 检查 应 用 层级 的 
数据 包 。 
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9.2.4 ”规则 检查 防火 墙 


规则 检查 防火 墙 结合 了 包 过 滤 防 火 墙 、 电 路 级 网 关 和 应 用 级 网 关 的 特点 。 同 包 过 滤 防 
火 墙 一 样 ,规则 检查 防火 墙 能 够 在 OSI 网络 层 上 通过 IP 地 址 和 端口 号 , 过滤 进出 的 数据 包 。 
它 也 像 电路 级 网 关 一 样 ， 能 够 检查 SYN 和 ACK 标记 和 序列 数字 是 否 迪 辑 有 序 。 当 然 它 也 
像 应 用 级 网 关 一 样 ， 可 以 在 OSI 应 用 层 上 检查 数据 包 的 内 容 ， 查 看 这 些 内 容 是 否 能 符合 公 
司 网 络 的 安全 规则 。 

规则 检查 防火 墙 虽 然 集成 前 三 者 的 特点 ， 但 是 不 同 于 一 个 应 用 级 网 关 的 是 ， 它 并 不 打 
破 客户 /服务 器 〈C/S) 模式 来 分 析 应 用 层 的 数据 ， 它 允许 受信 任 的 客户 机 和 不 受信 任 的 主 
机 建立 直接 连接 。 规 则 检查 防火 墙 不 依靠 与 应 用 层 有 关 的 代理 ， 而 是 依靠 某 种 算法 来 识别 
进出 的 应 用 层 数据 ， 这 些 算法 通过 已 知 合法 数据 包 的 模式 来 比较 进出 数据 包 ， 这 样 从 理论 
上 就 能 比 应 用 级 代理 在 过 滤 数 据 包 上 更 有 效 。 

目前 在 市 场 上 流行 的 防火 墙 大 多 属于 规则 检查 防火 墙 ， 因 为 该 防火 墙 对 于 用 户 透 明 
在 OSI 最 高 层 上 加 密 数 据 ， 不 需要 去 修改 客户 端的 程序 ， 也 不 需 对 每 个 需要 在 防火 墙 上 运 
行 的 服务 额外 增加 一 个 代理 。 例 如 OnTechnology 软件 公司 生产 的 OnGuard 和 CheckPoint 
软件 公司 生产 的 FireWall-1 防火 墙 ， 都 是 一 种 规则 检查 防火 墙 。 

未 来 的 防火 墙 将 位 于 网 络 级 防火 墙 和 应 用 级 防火 墙 之 间 ， 也 就 是 说 ， 网 络 级 防火 墙 将 
变 得 更 加 能 够 识别 通过 的 信息 ， 而 应 用 级 防火 墙 在 目前 的 功能 上 则 向 “透明 ”、“ 低 级 ” 
方向 发 展 。 最 终 防 火 墙 将 成 为 一 个 快速 注册 稿 查 系统 ， 可 保护 数据 以 加 密 方式 通过 ， 使 所 
有 组 织 可 以 放心 地 在 节点 间 传 送 数据 。 


9.2.5 ”状态 监视 器 


状态 防火 墙 的 安全 特性 是 非常 好 的 ， 它 采用 了 一 个 在 网 关上 执行 网 络 安全 策略 的 软件 
引擎 ， 称 之 为 检测 模块 。 检 测 模块 在 不 影响 网 络 正 常 工 作 的 前 提 下 ， 采 用 抽取 相关 数据 的 
方法 对 网 络 通信 的 各 层 实施 监测 ， 抽 取 部 分 数据 ( 即 状态 信息 ) ， 并 动态 地 保存 起 来 作为 
以 后 制定 安全 决策 的 参考 。 检 测 模块 支持 多 种 协议 和 应 用 程序 ， 并 可 以 很 容易 地 实现 应 用 
和 服务 的 扩充 。 与 其 他 安全 方案 不 同 ， 当 用 户 访 问 到 达 网 关 的 操作 系统 前 ， 状 态 监视 器 
(Stateful Inspection) 要 抽取 有 关 数 据 进行 分 析 , 结合 网 络 配置 和 安全 规定 做 出 接纳 、 拒绝 、 
鉴定 或 给 该 通信 加 密 等 决定 。 一 旦 某 个 访问 违反 安全 规定 ， 安 全 报警 器 就 会 拒绝 该 访问 ， 
并 作 记 录 ， 向 系统 管理 器 报告 网 络 状态 。 

状态 监视 器 的 另 一 个 优点 是 它 会 监测 RPC (Remote Procedure Call) 和 UDP (User Data 
gram Protocol) 之 类 的 端口 信息 。 包 过 滤 和 代理 网 关 都 不 支持 此 类 端口 。 这 种 防火 墙 无 疑 
是 非常 坚固 的 ， 但 它 的 配置 非常 复杂 ， 而 且 会 降低 网 络 的 速度 。 

总 而 言 之 ， 无 论 是 什么 类 型 的 防火 墙 ， 都 只 是 一 层 安 全 的 防护 ， 防 火 墙 的 配置 与 安全 
管理 是 最 重要 的 ， 你 可 以 为 自己 的 网 络 设置 多 层 防 火 墙 ， 即 使 一 层 防火 墙 被 突破 ， 网 络 还 
可 以 由 其 他 防火 墙 来 保护 。 但 是 防火 墙 不 是 万 能 的 , 网络 的 整体 安全 的 部 署 才 是 最 重要 的 ， 
防火 墙 只 是 第 一 道 保护 屏障 。 
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9.3 防火墙 体系 结构 


防火 墙 体系 结构 主要 有 三 种 : 
。 双重 宿主 主机 体系 结构 。 
。 被 屏蔽 主机 体系 结构 。 

。 被 屏蔽 子 网 体系 结构 。 


9.3.1 双重 宿主 主机 体系 结构 


双重 宿主 主机 体系 结构 是 围绕 具有 双重 宿主 的 主机 计算 机 而 构筑 的 ， 该 计算 机 至 少 有 
两 个 网 络 接口 。 这 样 的 主机 可 以 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 ， 它 能 够 从 一 个 
网 络 到 另 一 个 网 络 发 送 IP 数据 包 。 实 现 双重 宿主 主机 的 防火 墙 体系 结构 禁止 这 种 发 送 功 
能 , 所 以 IP 数据 包 从 一 个 网 络 并 不 是 直接 发 送 到 其 他 网 络 。 防 火 墙 内 部 的 系统 能 与 双重 宿 
主 主机 通信 ， 同 时 防火 墙 外 部 的 系统 能 与 双重 宿主 主机 通信 ， 但 是 这 些 系统 不 能 直接 互相 
通信 ， 它 们 之 间 的 人 P 通信 被 完全 阻止 。 

双重 宿主 主机 的 防火 墙 体系 结构 是 相当 简单 的 ， 双 重 宿主 主机 位 于 两 者 之 间 ， 并 且 被 
连接 到 Internet 和 内 部 的 网 络 。 在 双重 宿 体 主机 体系 中 应 用 最 广泛 的 是 双 穴 主机 网 关 ， 这 
种 网 关 是 用 一 台 装 有 两 块 网卡 的 堡垒 主机 作 防 火 墙 ， 两 块 网 卡 各 自 与 受 保护 网 和 外 部 网 相 
连 。 保 又 主机 上 运行 着 防火 墙 软件 ， 可 以 转发 应 用 程序 ， 提 供 服 务 等 。 


9.3.2 ”屏蔽 主机 体系 结构 


屏蔽 主机 体系 结构 使 用 一 个 单独 的 路 由 器 提供 来 自 仅仅 与 内 部 的 网 络 相 连 的 主机 的 
服务 。 在 这 种 体系 结构 中 ， 主 要 的 安全 由 数据 包 过 滤 。 

在 屏蔽 的 路 由 器 上 的 数据 包 过 滤 按 以 下 方法 设置 : 堡垒 主机 是 Intemet 上 的 主机 能 连 
接 到 内 部 网 络 上 的 系统 的 桥梁 。 仅 有 某 些 确定 类 型 的 连接 被 允许 。 任 何 外 部 的 系统 试图 访 
问 内 部 的 系统 或 者 服务 将 必须 连接 到 这 人 台 堡 又 主机 上 。 堡 又 主机 需要 拥有 高 等 级 的 安全 。 
在 屏蔽 路 由 器 中 数据 包 过 滤 配 置 的 可 选 方案 如 下 : 

。 允许 其 他 的 内 部 主机 为 了 某 些 服务 与 Intemet 上 的 主机 连接 。 

。 不 允许 来 自 内 部 主机 的 所 有 连接 。 

。 用 户 可 以 针对 不 同 的 服务 混合 使 用 上 述 手段 ， 某 些 服务 可 以 被 允许 直接 经 由 数据 包 

过 滤 ， 而 其 他 服务 可 以 只 允许 间接 地 经 过 代理 。 这 完全 取决 于 用 户 实行 的 安全 策略 。 


9.3.3 ”屏蔽 子 网 体系 结构 
屏蔽 子 网 体系 结构 添加 额外 的 安全 层 到 被 屏蔽 主机 体系 结构 ， 即 通过 添加 周边 网 络 更 


进一步 地 把 内 部 网 络 与 Intemet 隔离 开 。 
堡垒 主机 是 用 户 的 网 络 上 最 容易 受 侵 和 袭 的 计算 机 。 任 赁 用 户 尽 最 大 的 力气 去 保护 它 ， 
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它 仍 是 最 有 可 能 被 侵袭 的 计算 机 ， 因 为 它 本质 上 是 能 够 被 侵袭 的 计算 机 。 如 果 在 屏蔽 主机 
体系 结构 中 ， 用 户 的 内 部 网 络 对 来 自用 户 的 堡垒 主机 的 侵袭 门户 洞开 ， 那 么 用 户 的 堡垒 主 
机 是 非常 诱 人 的 攻击 目标 。 在 它 与 用 户 的 其 他 内 部 计算 机 之 间 没 有 其 他 的 防御 手段 时 ， 如 
果 有 人 成 功 地 侵入 屏蔽 主机 体系 结构 中 的 堡垒 主机 ， 那 就 毫 无 阻挡 地 进入 了 内 部 系统 。 

通过 在 周边 网 络 上 隔离 堡垒 主机 ， 能 减少 在 堡垒 主机 上 侵入 的 影响 。 屏 蔽 子 网 体系 结 
构 的 最 简单 的 形式 为 : 两 个 屏蔽 路 由 器 ， 每 一 个 都 连接 到 周边 网 。 其 中 一 个 位 于 周边 网 与 
内 部 的 网 络 之 间 ， 另 一 个 位 于 周边 网 与 外 部 网 络 之 间 。 为 了 侵入 用 这 种 类 型 的 体系 结构 构 
筑 的 内 部 网 络 ， 入 侵 者 必须 通过 两 个 路 由 器 。 即 使 侵袭 者 设法 侵入 堡垒 主机 ， 他 仍然 必须 
通过 内 部 路 由 器 。 在 此 情况 下 ， 没 有 损害 内 部 网 络 的 单一 的 易 受 侵 椅 点 。 作 为 入 侵 者 ， 只 
是 进行 了 一 次 访问 。 

1. 周边 网 络 


周边 网 络 是 另 一 个 安全 层 ， 是 在 外 部 网 络 与 用 户 的 被 保护 的 内 部 网 络 之 间 的 附加 的 网 
络 。 如 果 侵 袭 者 成 功 地 侵入 用 户 的 防火 墙 的 外 层 领域 ， 周 边 网 络 在 那个 侵袭 者 与 用 户 的 内 
部 系统 之 间 提 供 一 个 附加 的 保护 层 。 

在 许多 网 络 设置 中 ， 用 给 定 网 络 上 的 任何 机 器 来 查看 这 个 网 络 上 的 每 一 台 机 器 的 通信 
是 可 能 的 ,对 局 域 网 中 所 使 用 的 技术 , 入 侵 者 都 很 熟悉 , 入 侵 者 可 以 通过 查看 那些 在 Telnet、 
FTP 及 rlogin 会 话 期 间 使 用 过 的 口令 ， 成 功 地 探测 出 口令 及 电子 邮件 用 以 监视 网 络 等 。 

对 于 周边 网 络 ， 如 果 入 侵 周 边 网 上 的 保 垒 主机 ， 入 侵 者 只 能 探听 到 周边 网 上 的 通信 。 
因为 所 有 周边 网 上 的 通信 来 自 或 者 通 往 堡垒 主机 或 Intemet。 

因为 没有 严格 的 内 部 通信 能 越过 周边 网 ， 所 以 ， 如 果 保 公主 机 被 损害 ， 内 部 的 通信 仍 
将 是 安全 的 。 总 的 来 说 ， 在 堡垒 主机 或 者 外 部 的 通信 ， 仍 然 是 可 监视 的 。 防 火 墙 设计 工作 
的 一 部 分 就 是 确保 这 种 通信 不 至 于 机 密 到 阅读 它 将 损害 站 点 的 完整 性 。 


2. 堡垒 主机 


在 屏蔽 的 子 网 体系 结构 中 ， 用 户 把 堡垒 主机 连接 到 周边 网 ， 这 人 台 主 机 便 是 接受 来 自 外 
界 连 接 的 主要 入 口 。 

。 对 于 进来 的 电子 邮件 (SMTP) 会 话 ， 传 送 电子 邮件 到 站 点 。 

。 对 于 进来 的 FTP 连接 ， 转 接 到 站 点 的 匿名 FTP 服务器。 

。 对 于 进来 的 域名 服务 (DNS ) 站 点 查询 等 。 

。 在 外 部 和 内 部 的 路 由 器 上 设置 数据 包 过 滤 来 允许 内 部 的 客户 端 直接 访问 外 部 的 服 
务 器 。 

。 设置 代 理 服务 器 在 堡垒 主机 上 运行 《如 果 用 户 的 防火 墙 使 用 代理 软件 ) ， 来 允许 内 
部 的 客户 端 间接 地 访问 外 部 的 服务 器 。 用 户 也 可 以 设置 数据 包 过 滤 来 允许 内 部 的 客 
户 端 在 堡垒 主机 上 同 代理 服务 器 交谈 ， 但 是 禁止 内 部 的 客户 端 与 外 部 世界 之 问 直接 
通信 〈 即 拨号 入 网 方式 ) 。 


3. 内 部 路 由 器 
内 部 路 由 器 〈 也 称 阻塞 路 由 器 ) 保护 内 部 的 网 络 ， 使 之 免 受 Internet 和 周边 网 络 的 侵 


犯 。 内 部 路 由 器 为 用 户 的 防火 墙 执行 大 部 分 的 数据 包 过 滤 工 作 。 它 允许 从 内 部 网 络 到 
Internet 的 有 选择 的 出 站 服务 。 这 些 服务 是 用 户 的 站 点 能 使 用 数据 包 过 滤 ， 而 不 是 代理 服务 
安全 支持 和 安全 提供 的 服务 。 

内 部 路 由 器 所 允许 的 在 堡垒 主机 和 用 户 的 内 部 网 络 之 间 服 务 ， 可 以 不 同 于 内 部 路 由 器 
所 允许 的 在 Internet 和 用 户 的 内 部 网 络 之 间 的 服务 。 限 制 堡垒 主机 和 内 部 网 络 之 间 服 务 的 
理由 ， 是 减少 由 此 而 导致 的 受到 来 自 堡垒 主机 侵袭 的 机 器 的 数量 。 


4. 外 部 路 由 器 


外 部 路 由 器 〈 又 称 访问 路 由 器 ) 保护 周边 网 络 和 内 部 网 络 使 之 免 受 来 自 Intemet 的 侵 
犯 。 实 际 上 ， 外 部 路 由 器 倾向 于 允许 几乎 任何 东西 从 周边 网 络 出 站 ， 并 且 它 们 通常 只 执行 
非常 少 的 数据 包 过 滤 。 保 护 内 部 计算 机 的 数据 包 过 滤 规 则 在 内 部 路 由 器 和 外 部 路 由 器 上 基 
本 上 是 一 样 的 , 如 果 在 规则 中 有 人 允许 侵袭 者 访问 的 错误 ,错误 就 可 能 出 现在 两 个 路 由 器 上 。 

外 部 路 由 器 由 外 部 群 组 提供 ， 同 时 用 户 对 它 的 访问 被 限制 。 外 部 群 组 可 能 愿意 放 入 一 
些 通 用 型 数据 包 过 滤 规 则 来 维护 路 由 器 ， 但 是 不 愿意 使 维护 复杂 或 者 使 用 频繁 变化 的 规 
则 组 。 

外 部 路 由 器 能 有 效 地 执行 的 安全 任务 ， 是 阻止 从 Intemet 上 伪造 源 地 址 进来 的 任何 数 
据 包 。 这 样 的 数据 包 自称 来 自 内 部 的 网 络 ， 但 实际 上 是 来 自 Internet。 


5. 被 屏蔽 子 网 


在 内 部 网 络 和 外 部 网 络 之 问 建立 一 个 被 隔离 的 子 网 ， 用 两 台 分 组 过 滤 路 由 器 将 这 一 子 
网 分 别 与 内 部 网 络 和 外 部 网 络 分 开 。 两 个 分 组 过 滤 路 由 器 放 在 子 网 的 两 端 ， 在 子 网 内 构成 
一 个 “ 非 军 事 区 ”DMZ， 内 部 网 络 和 外 部 网 络 均 可 访问 被 屏蔽 子 网 ， 但 禁止 它们 穿 过 被 屏 
蔽 子 网 通信 ,如 WWW 和 FTP 服务 器 可 放 在 DMZ 中 。 有 的 屏蔽 子 网 中 还 设 有 一 堡垒 主机 
作为 唯一 可 访问 点 ， 支 持 终端 交互 或 作为 应 用 网 关 代 理 。 这 种 配置 的 危险 带 仅 包括 堡垒 主 
机 、 子 网 主机 及 所 有 连接 内 网 、 外 网 和 屏蔽 子 网 的 路 由 器 。 

如 果 入 侵 者 试图 完全 破坏 防火 墙 ， 则 重新 配置 连接 三 个 网 的 路 由 器 ， 既 不 切断 连接 又 
不 要 把 自己 锁 在 外 面 ， 同 时 又 不 使 自己 被 发 现 ， 这 样 也 还 是 可 能 的 。 但 若 禁止 网 络 访问 路 
由 器 或 只 允许 内 网 中 的 某 些 主机 访问 它 ， 则 攻击 会 变 得 很 困难 。 在 这 种 情况 下 ， 攻 击 者 必 
须 先 侵入 堡垒 主机 ， 然 后 进入 内 网 主机 ， 再 返回 来 破坏 屏蔽 路 由 器 ， 整 个 过 程 中 不 能 引发 
警报 。 


9.3.4 ”防火 墙 体系 结构 的 组 合 形式 


建造 防火 墙 时 ， 一 般 很 少 采用 单一 的 技术 ， 通 常 是 多 种 解决 不 同 问题 的 技术 组 合 。 这 
种 组 合 主要 取决 于 网 管 中 心 向 用 户 提供 什么 样 的 服务 , 以 及 网 管 中 心 能 接受 什么 等 级 风险 。 
采用 哪 种 技术 主要 取决 于 经 费 ， 投 资 的 大 小 或 技术 人 员 的 技术 、 时 间 等 因素 。 一 般 有 以 下 
几 种 形式 : 

。 使 用 多 堡垒 主机 。 

。 合并 内 部 路 由 器 与 外 部 路 由 器 。 
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合并 堡垒 主机 与 内 部 路 由 器 。 

。 合用 多 台 内 部 路 由 器 。 

。 使 用 多 台 外 部 路 由 器 。 

。 使 用 多 个 周边 网 络 。 

。 使 用 双重 宿主 主机 与 屏蔽 子 网 。 


9.4 防火 墙 的 选择 


在 规划 网 络 时 ， 就 必须 考虑 整体 网 络 的 安全 性 ， 而 在 这 其 中 ， 防 火 墙 是 第 一 道 防护 。 
防火 墙 产品 很 多 ， 如 何 进行 防火 墙 的 选择 ， 是 一 个 必须 考虑 的 问题 ， 建 议 考虑 以 下 几 点 。 


1. 好 的 防火 墙 是 一 个 整体 网 络 的 保护 者 


好 的 防火 墙 是 整体 网 络 的 保护 者 ， 它 所 保护 的 是 整个 局 域 网 。 
2. 好 的 防火 墙 必须 能 弥补 其 他 操作 系统 的 不 足 


好 的 防火 墙 必须 是 建立 在 操作 系统 之 前 而 不 是 在 操作 系统 之 上 ， 所 以 操作 系统 的 漏洞 
并 不 会 影响 到 防火 墙 系统 所 提供 的 安全 性 ， 由 于 硬件 平台 的 普及 以 及 执行 效率 的 因素 ， 大 
部 分 企业 均 会 把 对 外 提供 各 种 服务 的 服务 器 分 散 至 许多 操作 平台 上 ， 但 我 们 在 无 法 保证 所 
有 主机 安全 的 情况 下 ， 选 择 防火 墙 作 为 整体 安全 的 保护 者 ， 这 正 说 明了 操作 系统 提供 了 B 
级 或 是 C 级 的 安全 并 不 一 定 会 直接 对 整体 安全 造成 影响 , 好 的 防火 墙 必须 能 弥补 操作 系统 
的 不 是 。 


3. 好 的 防火 墙 应 该 为 使 用 者 提供 不 同 平台 的 选择 


由 于 防火 墙 并 非 完 全 由 硬件 构成 ， 所 以 软件 (操作 系统 ) 所 提供 的 功能 以 及 执行 效率 
一 定 会 影响 到 整体 的 表现 ， 而 使 用 者 的 操作 意愿 及 熟悉 程度 也 是 必须 考虑 的 重点 。 因 此 一 
个 好 的 防火 墙 不 但 本 身 要 有 良好 的 执行 效率 ,也 应 该 提供 多 平台 的 执行 方式 供 使 用 者 选择 ， 
毕竟 使 用 者 才 是 完全 的 控制 者 ， 应 该 选择 一 套 符合 现 有 环境 需求 的 软件 ， 并 非 为 了 软件 的 
限制 而 改变 现 有 环境 。 


4. 好 的 防火 墙 应 能 向 使 用 者 提供 完善 的 售后 服务 


由 于 有 新 的 产品 出 现 ， 就 有 人 会 研究 新 的 破解 方法 ， 所 以 一 个 好 的 防火 墙 提供 者 就 必 
须 有 一 个 庞大 的 组 织 作为 使 用 者 的 安全 后 盾 ， 也 应 该 有 众多 的 使 用 者 所 建立 的 口碑 为 防火 
墙 作证 。 


5. 有 提供 完整 的 安全 检查 功能 


好 的 防火 墙 应 该 向 使 用 者 提供 完整 的 安全 检查 功能 ， 但 是 一 个 安全 的 网 络 仍 必须 依靠 
使 用 者 的 观察 及 改进 。 


6. 好 的 防火 墙 还 能 实现 IP 转换 


IP 转换 能 隐藏 内 部 网 络 真正 的 下， 使 入 侵 者 无 法 直接 入 侵 内 部 网 ， 另 外 节省 的 瑟 可 
作为 内 部 使 用 。 


7. 好 的 防火 墙 应 该 有 双重 DNS 


当 内 部 网 络 使 用 没有 注册 的 了 P 地 址 或 是 防火 墙 进行 IP 转换 时 ,DNS 也 必须 经 过 转换 ， 
同样 的 一 个 主机 在 内 部 的 IP 与 给 予 外 界 的 他 将 会 不 同 ,所 以 双重 DNS 防火 墙 是 很 必要 的 。 


8. 查 杀 病 毒 功能 


大 部 分 防火 墙 都 可 以 与 防 病毒 防火 墙 搭配 实现 查 杀 病毒 功能 ， 有 的 防火 墙 则 可 以 直接 
集成 扫 毒 功能 ， 有 的 是 杀毒 由 防火 墙 完成 ， 有 的 是 由 专用 的 计算 机 完成 。 

防火 墙 也 是 网 络 上 的 主机 ， 除 了 配置 防火 墙 的 控制 连接 以 及 它 自身 的 服务 配置 、 端 口 
设置 以 外 ， 还 应 该 考虑 到 防火 墙 自身 的 安全 ， 因 为 它 自身 的 安全 性 决定 着 内 部 网 络 的 安全 
性 。 防 火 墙 大 部 分 都 安装 在 网 络 操作 系统 上 ， 如 Linux、Windows 系列 等 ， 在 防火 墙 主 机 
上 执行 的 除了 防火 墙 软件 外 ， 所 有 的 程序 与 系统 核心 ， 也 大 多 来 自 操作 系统 本 身 的 原 有 
程序 。 当 防火 墙 上 所 执行 的 软件 出 现 安全 漏洞 时 ， 防 火 墙 本 身 也 将 受到 威胁 。 此 时 ， 任 
何 的 防火 墙 控制 机 制 都 可 能 失效 ， 因 为 当 入 侵 者 取得 了 防火 墙 上 的 控制 权 以 后 ， 入 侵 者 可 
以 通过 防火 墙 入 侵 内 部 网 络 ， 所 以 防火 墙 自身 要 具有 相当 高 的 安全 保护 。 在 其 他 章节 详细 
地 讲述 了 各 个 网 络 操作 系统 的 安全 配置 及 管理 ， 读 者 可 以 在 使 用 相应 操作 系统 的 时 候 作为 
参考 。 


9.5 ”常用 防火 墙 的 配置 与 管理 


防火 墙 配 置 一 般 有 三 种 方式 : Dual-homed、Screened-host 和 Screened-subnet。 

Dual-homed 方式 最 简单 。Dual-homedGateway 放置 在 两 个 网 络 之 间 ， 这 个 Dual-homed 
Gateway 又 称 为 bastionhost。 这 种 结构 成 本 低 ， 但 是 它 有 单 点 失败 的 问题 。 这 种 结构 没有 
增加 网 络 安全 的 自我 防卫 能 力 ， 并 且 是 入 侵 者 的 首选 目标 ， 它 极 易 被 攻破 。 一 旦 被 攻破 ， 
整个 网 络 也 就 暴露 了 ， 所 以 这 种 配置 方式 不 利于 安全 的 管理 。 

Screened-host 方式 中 的 Screeningrouter 为 保护 Bastionhost 的 安全 建立 了 一 道 屏障 。 它 
将 所 有 进入 的 信息 先 送 往 Bastionhost, 并 且 只 接收 来 自 Bastionhost 的 数据 作为 出 去 的 数据 。 
这 种 结构 依赖 Screeningrouter 和 Bastionhost， 只 要 有 一 个 失败 ， 整 个 网 络 就 暴露 了 。 

Screened-subnet 方式 包含 两 个 Screeningrouter 和 两 个 Bastionhost。 在 公共 网 络 和 私有 
网 络 之 间 构 成 了 一 个 隔离 网 ， 称 之 为 “停火 区 (Demilitarized Zone, DMZ) ”，Bastionhost 
放置 在 “停火 区 ”内 。 这 种 结构 安全 性 好 ， 只 有 当 两 个 安全 单元 被 破坏 后 ， 网 络 才 被 暴露 ， 
但 是 成 本 也 很 昂贵 。 

下 面 来 介绍 常见 的 防火 墙 的 配置 。 


293 


294 


计算 机 网 络 安全 管理 (第 2 版 ) 


9.5.1 配置 防火 墙 


现在 来 介绍 基于 iptables 的 防火 墙 。 这 个 产品 和 以 前 的 ipchains 一 样 , 是 Linux 下 标准 
的 他 包 过 滤 工 具 。 技术 上 , 它 是 ipchains 的 下 一 代 产 品 , 增加 了 一 些 重要 的 功能 , 如 QoS、 
带宽 控制 ， 同 时 也 进一步 细 化 了 过 滤 规 则 的 控制 。 


1. iptables 语法 介绍 


iptables 的 IP 过 滤 规则 由 链 和 对 应 的 处 理 规则 组 成 ， 防 火 墙 的 规则 指定 所 检查 包 的 特 
征 、 目 标 。 若 包 不 匹配 则 送 往 该 链 下 一 条 规则 检查 ; 若 匹 配 ， 则 由 目标 值 确定 下 一 条 规则 。 
这 些 目标 值 可 以 是 : ACCEPT (通过 ) 、DROP (删除 ) 、QUEUE (排队 ) 和 RETURN ( 返 
回 ) 。 一旦 到 达 了 目标 ， 链 就 结束 了 。 

iptables 默认 定义 了 几 个 标准 链 , 即 INPUT( 输 入 链 )、OUTPUT( 输 出 链 )、FORWARD 
(转发 链 ) 、PREROUTING 和 POSTROUTING。 如 果 你 曾经 使 用 过 ipchains， 那 么 要 注意 ， 
iptables 的 INPUT 和 OUTPUT 的 定义 与 ipchains 不 同 ， 现 在 INPUT 和 OUTPUT 只 包含 事 
实 上 进入 /离开 本 机 的 包 ， 过 去 的 forward 包 穿 过 三 条 链 的 情况 不 再 出 现 了 。 相 当 于 以 前 的 
INPUT 链 的 链 名 是 PREROUTING ， 也 就 是 一 切 通过 本 机 NIC 进入 的 都 要 通过 
PREROUTING， 但 事实 上 只 有 进入 本 机 的 才 通 过 INPUT。 类 似 地 ， 所 有 通过 本 机 NIC 发 
出 的 数据 都 要 通过 POSTROUTING， 但 只 有 本 机 发 出 的 数据 包 才 通过 OUTPUT， 如 图 9-3 
所 示 。 


NIC-——-——» PostRouting -一 -Forward ---- 一 PostRouting -= NIC 


INPUT OUTPUT 
Local Local 
图 9-3 


iptables 中 的 另外 一 个 主要 概念 是 表 ， 用 -t，--table 来 表示 。 简 单 地 说 ， 表 是 一 个 满足 
特定 功能 的 链 的 分 组 ， 系 统 用 它 来 管理 默认 规则 ， 例 如 ， 要 执行 Nat， 内 核 必须 含有 Nat 
的 表 项 设 定 ，iptables 定义 了 三 个 表 : Filter、Nat 和 Mangle。 其 含义 如 表 9-1 所 示 。 


表 9-1 iptables 表 名 


表 名 链 名 描述 
| INPUT 进入 本 机 的 数据 包 
Filter | FORWORD 通过 本 机 转发 的 包 
| OUTPUT 由 本 机 发 出 去 的 包 
| PREROUTING 网 络 地 址 转换 到 来 的 包 
Nat | OUTPUT 网 络 地 址 转换 路 由 之 前 本 地 的 包 
| POSTROUTING 网 络 地 址 转换 出 去 的 包 
| PREROUTING 变更 路 由 之 前 进入 的 包 


Mangle 


OUTPUT 变更 路 由 之 前 出 去 的 包 
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如 果 内 核 已 经 定义 了 需要 的 表 ， 那 么 就 可 以 用 iptables 命令 来 管理 既定 的 规则 ， 其 主 
要 的 命令 选项 如 表 9-2 所 示 。 


表 9-2 iptables 命令 选项 


选 项 描 述 
-A, --append 向 所 选 链 追加 规则 
-D --delete 从 所 选 链 删除 规则 ， 可 以 指定 序号 或 者 指定 为 要 匹配 的 规则 
-R --replace 替代 所 选 链 规则 
-I -insert 以 指定 规则 序 向 所 选 链 插入 规则 
-L --list 列 于 所 选 链 的 所 有 规则 
-F --flush 清空 所 选 链 
-Z --zero 清空 所 有 链 的 包 及 字 节 的 计数 器 
-N --new-chain 根据 给 定名 称 建立 新 的 用 户 定义 链 
-X -delete-chain 删除 指定 的 用 户 定义 链 
-P --policy 设置 给 定 目标 链 规 则 
-E --rename-chain 根据 用 户 给 出 的 名 字 重 命名 指定 链 
-h 帮助 


规则 中 可 以 使 用 的 参数 ， 如 表 9-3 所 示 。 
表 9-3 iptables 参数 


选 项 描述 

指定 检查 的 协议 , 可 以 是 TCP、UDP 和 ICMP 中 的 一 种 或 全 部 ， 

-p, --protocol[!] protocol 可 以 是 数值 ， 也 可 以 是 /etc/protocols 中 定义 的 协议 名 ,协议 名 前 
加 “!” 表 示 相 反 的 规则 

-s, --Source[!] address[/mask] 指定 源 地 址 ， 可 以 是 主机 名 、 网 络 名 和 简单 P 地 址 

-d, --destination[!] address[/mask] 指定 目标 地 址 

-j, --jump target 目标 跳 转 

-i, -in-interface[!][name] 接收 包 的 接口 名 称 

-0, --Out-interface[!][name] 发 送 包 的 接口 名 称 

[!J-f, --fragment 在 分 片 的 包 中 ， 规 则 只 询问 第 二 及 以 后 的 片 

-c，--setrcounters PKTS BYTES 初始 化 包 、 字 节 规 则 


除 此 之 外 ， 还 有 扩展 参数 如 表 9-4 所 示 。 
表 9-4 iptables 扩展 参数 
描 述 


~-source-port[!][port[:port] 指定 源 端口 或 端口 范围 


—destination-port[!][port[:port]] 指定 目标 端口 或 端口 范围 


tcp --tcp-flags[!]mask comp 匹配 指定 的 TCP 标记 


[J--syn 只 匹配 设置 SYN 位 而 清除 ACK 和 FIN 位 的 TCP 包 


—tcp-option[!] number 车 TCP 选项 设置 则 匹配 


—source-port[!][port[:port]] 指定 源 端 口 或 端口 范围 


wp 一 destination-port[!][port[:port]] | 指定 目标 端口 或 端口 范围 


icmp —icmp-type[!] typename 指定 ICMP 类 型 
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续 表 
名 称 选 项 描述 
mac —mac-source[!] address 匹配 物理 地 址 
~limit rate 最 大 平均 匹配 速率 
~limit-burst number 待 匹配 包 最 大 初始 值 


limit 


iptables 还 预定 义 了 一 些 特 殊 目 标 扩展 , 它们 可 以 和 普通 的 目标 一 起 使 用 对 包 提供 特 
殊 的 处 理 ， 如 表 9-5 所 示 。 


表 9-5 iptables 特殊 目标 扩展 
名 称 描述 
设置 记录 级 别 
在 记录 信息 前 加 特定 前 级 
LOG 记录 TCP 序列 号 
记录 来 自 TCP 包头 部 的 选项 


记录 来 自 久 包头 部 的 选项 


MARK 设置 包 的 netfilter 标记 值 


SNAT --to-source<ipaddr>[-<ipaddr>] [:port-port] 网 络 源 地 址 转换 
DNAT --to-destination<ipaddr>[-<ipaddr>][:port-port] | 网 络 目的 地 址 转换 


PP ， 用 的 口 
将 本 来 应 该 穿 过 本 机 的 目标 数据 包 

REDIRECT --to-ports<port>[-<port>] 转发 到 本 地 端口 , 参数 指定 使 用 的 本 
地 端口 或 端口 范围 


2 配置 实例 


下 面 给 出 了 一 个 iptables 的 脚本 模型 ， 其 含义 不 难 分 析 ， 通 常 这 样 的 脚本 放 在 
/etc/re.d/init.d， 使 用 rcX.d 调用 。 

需要 注意 的 是 ， 如 果 进 行 了 Nat， 则 相应 的 DNS 配置 文件 和 qmail/control 文件 要 修改 
添加 masq 后 的 主机 名 。 


#!/bin/sh 
#make me executable(chmod a+x rc.firewall) and run me on boot (add in 


TC oeal) 


#iptables firewall script 


#interface definitions 

internet IFACE=eth0 

intranet IFACE=ethl 

extranet IFACE=eth2 

intranet ADDR=202.206.196.16/28 
extranet ADDR=192.168.0.0/24 


MASQ SERVER=202.206.196.216 
internet SERVER=202.206.196.17 
intranet SERVER=202.206.196.18 
extranet SERVER=192.168.0.2 


#testing 
#set -x 

#we need 
echo 0 > 
echo 0 > 
echo 1 > 
#turn on 
echo 1 > 
#turn on 


#flush built in rules 
-EF INPUT 
iptables -F OUTPUT 


iptables 


proxy arp for the intranet network 


/proc/sys/net/ipv4/conf/eth0/proxy_arp 


/proc/sys/net/ipv4/conf/ethl/proxy_ arp 


/proc/sys/net/ipv4/conf/eth2/proxy_arp 


ip forwarding 


/proc/sys/net/ipv4/ip forward 
antispoofing protection 
for f in/proc/sys/net/ipv4/conf/*/rp filter; do echo 1 > $ f; done 


iptables -F FORWARD 
iptables -F PREROUTING -t nat 
iptables -F OUTPUT -t nat 
iptables -F POSTROUTING -t nat 
#deny everything for now 
#iptables -A INPUT -j DROP 
#iptables -A FORWARD-j DROP 
#iptables -A OUTPUT -j DROP 


#set which addresses jump to which chains 
iptables -P FORWARD ACCEPT 


iptables 
iptables 
iptables 
iptables 
iptables 
iptables 
iptables 
iptables 
iptables 


-A INPUT 
-A INPUT 
-A INPUT 
-A INPUT 
-A INPUT 
-A INPUT 
-A INPUT 


192. 
192 。 
192 . 
202 
202. 
202. 
LOG 


168.0.0/24 -j 
168.0.0/24 -d 
168.0.0/24 -d 
206.196.16/28 
206.196.16/28 
206.196.16/28 


DROP 
192.168.0.0/24 -j ACCEPT 
202.206.196.16/28 -j ACCEPT 

-j DROP 

-d 202.206.196.16/28 -j ACCEPT 
-d 192.168.0.0/24 -j ACCEPT 


--log-prefix "input" 


-A OUTPUT -j ACCEPT 
-A OUTPUT -j LOG --log-prefix "output" 


9.5.2 ”防火 墙 的 管理 


防火 墙 的 管理 应 该 注意 如 下 几 点 。 
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1. 防火 墙 的 失效 状态 


防火 墙 能 否 起 到 安全 防护 作用 ， 不 仅 要 看 它 工 作 是 否 正 常 ， 能 否 阻 挡 或 捕捉 到 恶意 攻 
击 和 非法 访问 的 蛛丝马迹 ， 而 且 要 看 到 一 旦 防火 墙 被 攻破 ， 它 的 状态 如 何 。 按 级 别 来 分 ， 
它 有 以 下 4 种 状态 : 

。 未 受伤 害 能 够 继续 正常 工作 。 

。 关闭 并 重新 启动 ， 同 时 恢复 到 正常 工作 状态 。 

。 关闭 并 禁止 所 有 的 数据 通行 。 

。 关闭 并 允许 所 有 的 数据 通行 。 

前 两 种 状态 比较 理想 ， 而 第 四 种 最 不 安全 。 但 是 许多 防火 墙 由 于 无 条 件 进行 失效 状态 
测试 和 验证 ， 无 法 确定 其 失效 状态 等 级 ， 因 此 网 络 存 在 安全 隐患 。 


2. 防火 墙 的 动态 维护 


防火 墙 安装 和 投入 使 用 后 ， 并 非 万 事 大 吉 。 要 想 充分 发 挥 它 的 安全 防护 作用 ， 必 须 对 
它 进行 跟踪 和 维护 ， 要 与 商家 保持 密切 的 联系 ， 时 刻 注视 商家 的 动态 。 因 为 商家 一 旦 发 现 
其 产品 存在 安全 漏洞 ， 那 么 会 尽快 发 布 补救 《Patch) 产品 ， 此 时 应 尽快 确认 真 伪 《防止 特 
洛 伊 木 马 等 病毒 ) ， 并 对 防火 墙 软件 进行 更 新 。 


3. 防火 墙 的 非法 访问 


深入 分 析 研究 防火 墙 技 术 ， 利 用 防火 墙 配置 和 实现 的 漏洞 ， 可 以 对 它 实 施 攻击 。 通 常 
情况 下 ， 有 效 的 攻击 都 是 从 相关 的 子 网 进行 的 ， 因 为 这 些 网 址 得 到 了 防火 墙 的 信赖 ， 虽 说 
成 功 与 否 尚 取决 于 机 遇 等 其 他 因素 ， 但 对 攻击 者 而 言 很 值得 一 试 。 

下 面 以 数据 包 过 滤 防 火 墙 为 例 ， 简 要 描述 可 能 的 攻击 过 程 。 

这 种 类 型 的 防火 墙 以 IP 地 址 作为 鉴别 数据 包 是 否 允许 其 通过 的 条 件 , 而 这 恰恰 是 实施 
攻击 的 突破 口 。 许 多 防火 墙 软件 无 法 识别 数据 包 到 底 来 自 哪个 网 络 接口 ， 因 此 攻击 者 无 须 
表明 进攻 数据 包 的 真正 来 源 ， 只 省 伪装 IP 地 址 ， 取 得 目标 的 信任 , 使 其 认为 来 自 网 络 内 部 
即 可 。IP 地 址 欺骗 攻击 正 是 基于 这 类 防火 墙 对 IP 地 址 缺乏 识别 和 验证 的 机 制 。 

通常 主机 A 与 主机 B 的 TCP 连接 (中 间 有 或 无 防火 墙 ， 是 通过 主机 A 向 主机 B 提出 
请 求 建立 起 来 的 ， 而 其 间 A 和 了 B 的 确认 仅仅 根据 由 主机 A 产生 并 经 主机 B 验证 的 初始 序 
列 号 ISN。 具 体 分 三 个 步骤 : 

(1) 主机 A 产生 它 的 ISN， 传 送 给 主机 B， 请 求 建立 连接 。 

(2) B 接收 到 来 自 A 的 带 有 SYN 标志 的 ISN 后 ， 将 自己 本 身 的 ISN 连同 应 答 信息 
ACK 一 同 返 回 给 A。 

(3) A 再 将 B 传送 来 的 ISN 及 应 答 信息 ACK 返回 给 B。 

这 样 ， 正 常情 况 ， 主 机 A 与 B 的 TCP 连接 就 建立 起 来 了 。 

IP 地 址 欺骗 攻击 的 第 一 步 是 切断 可 信赖 主机 。 这样 可 以 使 用 TCP 淹没 攻击 , 使 得 信赖 
主机 处 于 “ 自 顾 不 暇 ”的 忙碌 状态 ， 相 当 于 被 切断 ， 这 时 目标 主机 会 认为 信赖 主机 出 现 了 
故障 ， 只 能 发 出 无 法 建立 连接 的 RST 包 而 无 暇 顾及 其 他 。 

攻击 者 最 关心 的 是 猜测 目标 主机 的 ISN。 为 此 ， 可 以 利用 SMTP 的 端口 (25) ， 通 常 


它 是 开放 的 ， 邮 件 能 够 通过 这 个 端口 , 与 目标 主机 打开 (Open) 一 个 TCP 连接 ， 因 而 得 到 
它 的 ISN。 在 此 有 效 期 间 ， 重 复 这 一 过 程 若干 次 ， 以 便 能 够 猜测 和 确定 ISN 的 产生 和 变化 
规律 , 这样 就 可 以 使 用 被 切断 的 可 信赖 主机 的 IP 地 址 向 目标 主机 发 出 连接 请 求 。 请 求 发 出 
后 ， 目 标 主机 会 认为 它 是 TCP 连接 的 请 求 者 ， 从 而 给 信赖 主机 发 送 响应 (包括 SYN) ， 
而 信赖 主机 目前 仍 忙于 处 理 Flood 淹没 攻击 产生 的 “合法 ”请 求 ， 因 此 目标 主机 不 能 得 到 
来 自信 赖 主机 的 响应 。 

现在 攻击 者 发 出 回答 响应 ， 并 连同 预测 的 目标 主机 的 ISN 一 同 发 给 目标 主机 。 

随 着 不 断 地 纠正 预测 的 ISN, 攻击 者 最 终 会 与 目标 主机 建立 一 个 会 晤 。 通过 这 种 方式 ， 
攻击 者 以 合法 用 户 的 身份 登录 到 目标 主机 而 不 需 进一步 确认 。 如 果 反 复试 验 使 得 目标 主机 
能 够 接收 对 网 络 的 root 登录 ， 那 么 就 可 以 完全 控制 整个 网 络 。 


4. 防火 墙 安全 的 几 个 威胁 


防火 墙 安全 防护 面临 威胁 的 主要 原因 如 下 。 
。 SOCK 的 错误 配置 。 

。 不 适当 的 安全 政策 。 

。 强力 攻击 。 

。 允许 匿名 的 FTP 协议 。 

。 允许 TFTP 协议 。 

。 允许 rlogin 命令 。 

。 允许 X-window 或 OpenWindows。 
。 端口 映射 。 

。 可 加 载 的 NFS 协议 。 

。 允许 Win95/NT 文件 共享 。 


9.5.3 ”华为 的 VRP3 防火 墙 配置 


通用 路 由 平台 (Versatile Router Platform，VRP) 是 整个 VRP 平台 的 核心 ， 它 实现 了 
OSPF、BGP、IS-IS、RIP、EIGRP、PIM DM/SM 等 多 种 单 播 和 多 播 路 由 协议 ,支持 路 由 迭 
代 、 路 由 策略 和 路 由 聚合 等 丰富 的 路 由 特性 ，VRP 中 的 防火 墙 主 要 是 指 基 于 访问 控制 列表 
(CACL) 的 包 过 滤 、 基 于 应 用 层 的 包 过 滤 防 火 墙 ASPF 和 地 址 转换 。 


1. ACL/ 包 过 滤 防 火 墙 


ACL/ 包 过 滤 应 用 在 路 由 器 中 ， 就 为 路 由 器 增加 了 对 数据 包 的 过 滤 功 能 。ACL/ 包 过 滤 
实现 对 人 P 数据 包 的 过 滤 , 对 路 由 器 需要 转发 的 数据 包 , 先 获取 数据 包 的 包头 信息 , 包括 卫 
层 所 承载 的 上 层 协 议 的 协议 号 ， 数 据 包 的 源 地 址 、 目 的 地 址 、 源 端口 和 目的 端口 等 ， 然 后 
和 设 定 ACL 规则 进行 比较 ， 根 据 比 较 的 结果 决定 对 数据 包 进行 转发 或 者 丢弃 。ACL/ 包 过 
滤 提 供 了 对 分 片 报 文 检测 过 滤 的 支持 。 包 过 滤 防 火 墙 将 检测 报 文 类 型 有 非 分 片 报 文 、 首 片 
分 片 报 文 和 非 首 片 分 片 报 文 ， 获得 报 文 的 三 层 (IP 层 ) 信息 (基本 ACL 规则 和 不 含 三 层 
以 外 信息 的 高 级 ACL 规则 ) 及 三 层 以 外 的 信息 《包含 三 层 以 外 信息 的 高 级 ACL 规则 ) 用 
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于 匹配 ， 并 获得 配置 的 ACL 规则 。 对 于 配置 了 精确 匹配 过 滤 方式 的 高 级 ACL 规则 ， 包 过 
滤 防 火 墙 需要 记录 每 一 个 首 片 分 片 的 三 层 以 外 的 信息 ， 当 后 续 分 片 到 达 时 ， 使 用 这 些 保 存 
的 信息 对 ACL 规则 的 每 一 个 匹配 条 件 进行 精确 匹配 。 应 用 精确 匹配 过 滤 后 , 包 过 滤 防 火 墙 
的 执行 效率 会 略微 降低 ， 配 置 的 匹配 项 目 越 多 ， 效 率 降 低 越 多 ， 可 以 配置 门限 值 来 限制 防 
火 墙 最 大 处 理 的 数目 。 

ACL/ 包 过 滤 防 火 墙 配置 主要 需要 配置 步骤 如 下 。 

(1) 允许 或 禁止 防火 墙 。 在 系统 视图 输入 操作 命令 : 

firewall enable 

如 果 是 禁止 防火 墙 ， 输 入 undo firewall enable。 

系统 默认 情况 下 禁止 防火 墙 。 

(2) 设置 防火 墙 默认 过 滤 方 式 。 在 系统 视图 输入 操作 命令 : 

firewall default permit 

如 果 设 置 默认 过 滤 方 式 为 禁止 通过 ， 输 入 firewall default deny。 

在 防火 墙 开启 时 ， 系 统 默 认为 允许 。 

(3) 设置 包 过 滤 防 火 墙 分 片 报 文 检测 开关 。 在 系统 视图 中 输入 操作 命令 。 

打开 分 片 报 文 检测 开关 firewall fragments-inspect。 

如 果 需 要 关闭 分 片 报 文 检 测 开 关 ， 输 入 undo firewall fragments-inspect。 


注意 : 只 有 打开 了 分 片 报 文 检 测 开关 ， 精 确 匹配 模式 才能 真正 有 效 。 


(4) 配置 分 片 报 文 检 测 的 上 、 下 门限 值 ， 在 系统 视图 输入 操作 命令 : 
firewall fragments-inspect { high | low } { default | number } 
如 果 恢 复 上 限 分 片 状态 记录 数 日 为 默认 值 , 输入 undo firewall fragments-inspect { high | 


low } 。 


注意 : 默认 的 上 限 (high ) 分 片 状 态 记录 数目 为 2000; 下 限 (low ) 分 片 状态 记录 数 
目 为 1500。 


(5) 在 接口 上 应 用 访问 控制 列表 ， 在 接口 视图 输入 操作 命令 : 

firewall packet-filter { acl-number | acl-name } { inbound | outbound } [ match-fragments 
{normally | exactly } ] 

如 果 取 消 接口 上 过 滤 接 收报 文 的 规则 ， 输 入 undo firewall packet-filter { acl-number | 
acl-name } { inbound | outbound } 

(6) 包 过 滤 防火 墙 显示 与 调试 。 

在 完成 上 述 配 置 后 ， 在 所 有 视图 下 执行 如 下 display 命令 可 以 显示 包 过 滤 防 火 墙 的 运 
行情 况 ， 通 过 查看 显示 信息 验证 配置 的 效果 。 执 行 如 下 debugging 命令 可 以 对 包 过 滤 防火 
墙 进行 调试 。 

display firewall-statistics { all | interface interface-name | fragments-inspect } 

# 显 示 接 口 的 有 关 防 火 墙 的 统计 信息 

debugging firewall { all | icmp | tcp | udp | others } [ interface interface-name ] 

# 打 开 防火 墙 包 过 滤 调 试 信息 开关 

undo debugging firewall { all | icmp | tcp | udp | others } [ interface interface-name ] 

# 关 闭 防火 墙 包 过 滤 调 试 信息 开关 


下 面 通过 一 个 公司 配置 防火 墙 的 实例 来 说 明 防 火 墙 的 配置 。 

该 公司 通过 一 台 Quidway 路 由 器 的 接口 Seriall/0/0 访问 Intemet, 路 由 器 与 内 部 网 通过 
以 太 网 接口 Ethernet0/0/0 连接 。 公 司 内 部 对 外 提供 WWW、FTP 和 Telnet 服务 ， 公 司 内 部 
子 网 为 129.38.1.0， 其 中 ， 内 部 FTP 服务 器 地 址 为 129.38.1.1， 内 部 Telnet 服务 器 地 址 为 
129.38.1.2， 内 部 WWW 服务 器 地 址 为 129.38.1.3， 公 司 对 外 地 址 为 202.38.160.1。 在 路 由 
器 上 配置 了 地 址 转换 ， 这 样 内 部 PC 可 以 访问 Internet， 外 部 PC 可 以 访问 内 部 服务 器 。 通 
过 配置 防火 墙 ， 希 望 实现 以 下 要 求 : 

。 外 部 网 络 只 有 特定 用 户 可 以 访问 内 部 服务 器 。 

。 内 部 网 络 只 有 特定 主机 可 以 访问 外 部 网 络 。 

。 假定 外 部 特定 用 户 的 他 地 址 为 202.39.2.3。 

具体 的 配置 步骤 如 下 : 

# 在 路 由 器 Quidway 上 允许 防火 墙 

[Quidway] firewall enable 

# 设置 防火 墙 默认 过 滤 方 式 为 允许 包 通过 

[Quidway] firewall default permit 

# 创建 访问 控制 列表 101 

[Quidway] acl number 101 

# 配置 规则 禁止 所 有 IP 包 通 过 

[Quidway-acl-adv-101] rule deny ip 

# 配置 规则 允许 特定 主机 访问 外 部 网 ， 人 允许 内 部 服务 器 访问 外 部 网 

[Quidway-acl-adv-101] rule permit ip source 129.38.1.40 

[Quidway-acl-adv-101] rule permit ip source 129.38.1.1 0 

[Quidway-acl-adv-101] rule permit ip source 129.38.1.20 

[Quidway-acl-adv-101] rule permit ip source 129.38.1.3 0 

# 创建 访问 控制 列表 

[Quidway] acl number 102 

# 配置 规则 允许 特定 用 户 从 外 部 网 访问 内 部 服务 器 

[Quidway-acl-adv-102] rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0 

# 配 置 规则 允许 特定 用 户 从 外 部 网 取得 数据 (只 允许 端口 大 于 1024 的 包 ) 

[Quidway-acl-adv-102] rule permit tcp destination 202.38.160.10 0 destination-port gt 1024 

# 将 规则 101 作用 于 从 接口 Ethernet0/0/0 进入 的 包 

[Quidway-Ethermet0/0/0] firewall packet-filter 101 inbound 

# 将 规则 102 作用 于 从 接口 Serial1/0/0 进入 的 包 

[Quidway-Seriall/0/0] firewall packet-filter 102 inbound 


2. ASPF 的 配置 与 实例 


ASPF (Application Specific Packet Filter) 是 针对 应 用 层 的 包 过 滤 ， 即 基于 状态 的 报 文 
过 滤 。 它 和 普通 的 静态 防火 墙 协同 工作 ， 以 便于 实施 内 部 网 络 的 安全 策略 。ASPF 能 够 检 
测试 图 通过 防火 墙 的 应 用 层 协议 会 话 信息 ， 阻 止 不 符合 规则 的 数据 报 文 穿 过 。 为 保护 网 络 
安全 ,基于 访问 控制 列表 的 包 过 滤 可 以 在 网 络 层 和 传输 层 检测 数据 包 , 防止 非法 入 侵 .ASPF 
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能 够 检测 应 用 层 协议 的 信息 , 并 对 应 用 的 流量 进行 监控 。 同时 能 针对 DoS 进行 检测 和 防范 。 
使 用 Java Blocking (Java 阻 断 ) 来 保护 网 络 不 受 有 害 的 Java Applets 的 破坏 。 它 还 支持 端 
口 到 应 用 的 映射 ， 用 于 应 用 层 协议 提供 的 服务 使 用 非 通用 端口 时 的 情况 。 它 增强 的 会 话 日 
志 功 能 。 可 以 对 所 有 的 连接 进行 记录 ， 包 括 : 记录 连接 的 时 间 、 源 地 址 、 目 的 地 址 、 使 用 
的 端口 和 传输 的 字 节 数 。ASPF 对 应 用 层 的 协议 信息 进行 检测 ， 并 维护 会 话 的 状态 ， 检 查 
会 话 的 报 文 的 协议 和 端口 号 等 信息 , 阻止 恶意 的 入 侵 。 ASPF 能 对 如 下 的 协议 : FTP、HTTP、 
SMTP、RSTP、H.323、TCP 和 UDP 的 流量 进行 监测 。 

ASPF 配置 中 需要 允许 防火 墙 使 用 ， 同 时 配置 访问 控制 列表 ， 然 后 定义 一 个 ASPF 策 
略 ， 最 后 在 选 定 的 接口 上 应 用 。 

下 面 介绍 一 下 如 何 定义 一 个 ASPF 策略 。 

(1) 创建 一 个 ASPF 策略 。 在 系统 视图 下 输入 。 

aspf-policy aspf-policy-number 

如 果 删 除 创 建 一 个 ASPF 策略 ， 输 入 undo aspfpolicy aspf-policy-numbe， 其 中 
aspf-policy-number 为 ASPF 策略 号 ， 范 围 为 1 一 99。 

(2) 配置 空闲 超时 值 。 输 入 aging-time { syn | fin | tcp | udp } seconds。 

如 果 恢 复 默 认 的 空闲 超时 值 ， 输 入 undo aging-time { syn | fin | tecp | udp }。 

该 任务 用 来 配置 TCP 的 SYN 状态 等 待 超 时 值 、FIN 状态 等 待 超时 值 ，TCP 和 UDP 会 
话 表 项 空闲 状态 超时 值 。 默 认 情 况 syn、fin、tcp、udp 的 超时 时 间 分 别 为 30s、5s、3600s 
和 30s。 

(3) 配置 应 用 层 协议 检测 。 输 入 。 

detect protocol [ aging-time seconds ] 

如 果 要 删除 配置 的 应 用 协议 检测 ， 输 入 undo detect protocol。 

应 用 层 协 议 protocol 可 取 值 ftp、h323、smtp、rtsp、http。 在 protocol 选择 http 时 ， 可 
以 配置 Java 阻 断 ， 命 令 为 ; 

detect http { java-list acl-number } [ aging-time seconds ] 

如 果 取 消 对 HTTP 的 检测 规则 ， 输 入 undo detect http。 

(4) 配置 一 般 TCP 和 UDP 检测 。 在 ASPF 策略 视图 下 键入 。 

detect tcp [ aging-time seconds ] 

# 配置 通用 TCP 协议 检测 

detect udp [ aging-time seconds ] 

# 配置 通用 UDP 协议 检测 

undo detect tcp 

# 删除 通用 TCP 协议 检测 

undo detect udp 

# 删除 通用 UDP 协议 检测 

(5) 在 接口 上 应 用 ， 在 接口 视图 下 ， 输 入 如 下 命令 。 

firewall aspf aspf-policy-number { inbound | outbound } 

如 果 删 除 该 接口 上 应 用 的 ASPF 策略 ， 输 入 

undo firewall aspf aspf-policy-number{f inbound | outbound } 


(6) ASPF 显示 与 调试 。 
在 完成 上 述 配置 后 ， 在 所 有 视图 下 执行 如 下 display 命令 可 以 显示 ASPF 的 运行 情况 ， 


通过 查看 显示 信息 验证 配置 的 效果 。 在 用 户 视图 下 执行 debugging 命令 查看 ASPF 调试 信息 。 


display aspf all 

# 显示 所 有 ASPF 配置 情况 

display aspf interface 

# 显示 应 用 ASPF 策略 和 访问 列表 的 接口 配置 

display aspf policy aspf-policy-number 

# 显示 一 个 特定 ASPF 策略 的 配置 

display aspf session 

# 显示 ASPF 当前 会 话 状态 

debugging aspf { all | detail | events | ftp | h323 | http | rtsp | session | smtp | tcp | timer | udp } 
# 打开 ASPF 调试 开关 

undo debugging aspf { all | detail | events | ftp | h323 | http | rtsp | session | smtp | tcp | timer | udp } 
# 关闭 ASPF 调试 开关 

下 面 在 防火 墙 上 具体 配置 一 个 ASPF 策略 ， 来 检测 通过 防火 墙 的 FTP 和 HTTP 流量 。 


如 果 该 报 文 是 内 部 网 络 用 户 发 起 的 FTP 和 HTTP 连接 的 返回 报 文 , 则 允许 其 通过 防火 墙 进 
入 内 部 网 络 , 其 他 报 文 被 禁止 ; 并 且 , 此 ASPF 策略 能 够 过 滤 掉 来 自 服务 器 2.2.2.11 的 HTTP 
报 文中 的 Java Applets。 本 例 可 以 应 用 在 本 地 用 户 震 要 访问 远程 网 络 服务 的 情况 下 。 配置 的 
基本 步骤 如 下 : 


# 在 ASPF 路 由 器 上 配置 允许 防火 墙 
[Quidway] firewall enable 
# 配置 访问 控制 列表 111， 以 拒绝 所 有 TCP 和 UDP 流量 进入 内 部 网 络 ，ASPF 会 为 允 


许 通过 的 流量 创建 临时 的 访问 控制 列表 


[Quidway] acl number 111 [Quidway-acl-adv-111] rule deny 
# 创建 ASPF 策略 ， 策 略 号 为 1， 该 策略 检测 应 用 层 的 两 个 协议 : FTP 和 HTTP 协 


， 并 定义 没有 任何 行为 的 情况 下 ， 这 两 个 协议 的 超时 时 间 为 3000s 


[Quidway] aspf-policy 1 

[Quidway-aspf-policy-1] detect ftp aging-time 3000 
[Quidway-aspf-policy-1] detect http aging-time 3000 
[Quidway-aspf-policy-1] detect http java-list 1 

# 配置 访问 控制 列表 1， 以 过 滤 来 自 站 点 2.2.2.11 的 Java Applets 
[Quidway] acl number 1 

[Quidway-acl-basic-1] rule deny source 2.2.2.11 0 
[Quidway-acl-basic-1] rule permit any 

# 在 接口 上 应 用 ASPF 策略 

[Quidway-Serial1/0/0] firewall aspf 1 outbound 

# 在 接口 上 应 用 访问 控制 列表 111 
[Quidway-Serial1/0/0] firewall packet-filter 1 inbound 
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随 着 Intemet 的 发 展 ， 电 子 商 务 已 经 逐渐 成 为 人 们 进行 商务 活动 的 新 模式 。 电 子 商 务 
在 国外 已 经 成 为 一 种 很 常见 的 购物 方式 ， 而 在 我 国正 处 于 起 步 阶段 。 电 子 商 务 是 端 对 端的 
网 上 交易 ， 它 必须 具有 强 有 力 的 安全 防范 措施 ， 并 提供 数据 的 完整 性 、 保 密 性 和 不 可 否认 
性 ， 因 为 网 上 交易 使 用 信用 卡 、 个 人 账号 等 私人 秘密 。 我 国电 子 商务 正在 崛起 ， 电 子 商 务 
的 发 展 前 景 十 分 诱 人 ， 而 其 安全 问题 也 变 得 越 来 越 突 出 ， 如 何 建立 一 个 安全 、 快 捷 的 电子 
商务 应 用 环境 ， 对 信息 提供 足够 的 保护 ， 已 经 成 为 商家 和 用 户 都 十 分 关心 的 话题 。 所 以 要 
开展 电子 商务 ， 就 必须 充分 了 解 电子 商务 中 应 该 注意 的 安全 问题 。 目 前 ， 在 电子 商务 网 站 
中 应 用 最 多 是 的 客户 机 和 服务 器 中 的 安全 模式 。 在 本 章 中 将 详细 讨论 电子 商务 中 电子 商务 
站 点 的 安全 。 


10.1 电子 商务 的 安全 概述 


安全 体系 在 第 1 章 中 已 经 讲 到 ， 它 包括 物理 系统 的 安全 、 操 作 系 统 的 安全 、 网 络 安 全 
及 电子 商务 站 点 的 安全 ， 即 Web 的 安全 性 ， 在 前 几 章 中 分 别 介绍 了 相关 的 安全 知识 ， 如 操 
作 系统 安全 等 。 在 这 一 章 中 将 着 重 讲述 电子 商务 站 点 的 安全 。 


10.1.1 电子 商务 站 点 的 安全 准则 


电子 商务 站 点 的 安全 准则 如 下 : 

。 信息 的 完整 性 与 真实 性 。 

。 信息 的 保密 性 。 

。 信息 的 不 可 和 否认 性 〈 即 不 可 抵赖 性 )。 
。 确保 消费 者 隐私 的 安全 。 

。 保护 消费 者 的 机 密 。 

。 确保 服务 器 的 安全 。 
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。 身份 认证 。 

。 使 用 安全 策略 。 

。 禁用 范例 和 文献 。 

。 指定 命令 的 安全 级 别 。 
。 备份 与 恢复 。 


10.1.2 ”电子 商务 安全 体系 


电子 商务 安全 解决 方案 分 为 4 个 层次 : 基础 设备 安全 、 终 端 设 备 安全 、 网 络 设备 安全 
和 系统 设备 安全 。 如 图 10-1 所 示 。 


电子 商务 安全 解决 方案 


基础 设备 ( 如 加 密 卡 、 身 份 


终端 设备 ( 如 传真 密码 
识 判 卡 等 ) 安 全 


机 、 电 话 密码 机 等 ) 安 全 


安全 技术 ( 如 身份 证 技术 、 访 问 控制 技术 、 加 密 技 术 、 
智能 卡 技术 、 虚 拟 专用 网 技术 及 PKI 技 术 等 ) 


系统 设备 ( 如 安全 服务 器 、 
安全 加 密 套件 和 金融 加 密 
机 等 ) 安 全 


网 络 设备 (如 安全 路 由 器 、 
防火 墙 及 安全 协议 等 ) 安全 


图 10-1 


一 般 的 现代 电子 商务 实现 的 解决 方案 如 图 10-2 所 示 。 


Web 和 邮件 服务 器 


金融 处 理 网 络 
数据 存储 网 络 


图 10-2 
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10.2 ”电子 商务 中 所 使 用 的 安全 技术 


在 网 络 安全 中 所 包括 的 安全 技术 有 密码 技术 、 身 份 认证 、 访 问 控 制 、 虚 拟 专 用 网 
(VPN)、 公 共 密 钥 基 础 设施 (PKI) 及 智能 卡 等 。 而 在 电子 商务 中 用 到 了 上 述 安全 技术 的 
几 种 ， 下 面 逐一 介绍 。 


10.2.1 密码 技术 


在 传统 的 电子 商务 中 使 用 密码 技术 ， 就 是 使 用 公 钥 〈 非 对 称 加 密 ) 和 对 称 加 密 相 结合 
的 方法 提供 通信 、 保 密 性 认证 和 消息 完整 性 ， 客 户 机 和 服务 器 能 通过 防止 窃听 算 改 和 伪造 
消息 的 途径 进行 通信 。 公 钥 可 以 给 任何 请 求 它 的 应 用 程序 或 用 户 ， 私 钥 则 只 有 它 的 所 有 者 
知道 。 除 了 公 钥 / 私 钥 对 , 电子 商务 还 使 用 数字 证 书 (digital certificate), 这 是 一 些 被 Certificate 
Authorities 所 发 布 的 文件 ， 它 们 作为 应 用 程序 或 用 户 的 信用 卡 。 数 字 证 书 是 一 些 文本 文件 ， 
这 些 文本 文件 包含 了 识别 应 用 程序 或 用 户 身 份 的 信息 。 证 书 中 也 包含 了 应 用 程序 或 用 户 的 
公 钥 。 

下 面 介绍 非 对 称 加 密 〈 公 开 ) 和 对 称 密 钥 加 密 。 

1， 对 称 加 密 算法 (Symmetric Encryption ) 


在 对 称 加 密 中 ， 数 据 信息 的 传送 ， 加 密 及 接收 解密 都 中 用 到 共享 的 钥匙 ， 也 就 是 说 加 
密 和 解密 共用 一 把 钥匙 。 例 如 ，Mike 想 送 一 张 订单 给 Bob， 只 有 Bob 可 以 订 它 。Mike 将 
这 张 订单 (里 面 的 文字 ) 用 一 个 加 密 钥匙 加 密 之 后 ， 将 这 个 加 过 密 的 订单 (密码 文字 ) 寄 
给 了 Bob。 所 谓 加 密 就 是 将 数据 打 乱 ， 使 得 除了 特定 的 收 信人 之 外 ， 所 有 的 人 都 无 法 看 懂 
它 。 对 称 加 密 最 常用 的 一 种 方式 是 资料 加 密 标准 (Data Encryption Standard，DES)。 所 有 
的 参与 者 都 必须 彼此 了 解 ， 而 且 完 全 互相 信任 ， 因 为 他 们 每 一 个 人 都 有 一 份 钥匙 的 珍藏 副 
本 。 如 果 传 送 者 和 接收 者 位 于 不 同 的 地 点 , 他 们 在 面对面 的 会 议 时 或 是 在 公共 传输 系统 ( 电 
话 系统 或 邮局 服务 ) 时 ， 当 密 钥 在 被 互相 交换 时 ， 确 定 不 会 被 偷 听 。 只 要 有 人 在 钥匙 传送 
的 途中 偷 听 到 或 者 拦截 下 钥匙 ， 他 就 可 以 用 这 个 钥匙 来 读 取 所 有 加 密 了 的 数据 信息 。 


2. 非 对 称 加 密 算 法 ‘(Asymmetric Encryption) 


在 非 对 称 加 密 算 法 中 ， 利 用 了 两 把 钥匙 ， 一 个 钥匙 用 来 将 数据 信息 加 密 ， 而 用 另 一 把 
不 同 的 钥匙 来 解密 。 这 两 把 钥匙 之 间 有 数学 关系 ， 所 以 用 一 个 钥匙 加 密 过 的 资料 只 能 用 相 
对 的 另 一 个 钥匙 来 解密 。 非 对 称 加密 异 于 两 方 都 用 同一 个 密 钥 的 对 称 加 密 算法 ， 公 钥 密 码 
法 对 每 一 个 人 都 使 用 一 对 钥匙 ， 其 中 一 个 是 公开 的 ， 而 另 一 个 是 私密 的 。 公 共 钥 匙 可 以 在 
互联 网 上 明文 传送 ， 而 私密 钥匙 则 必须 加 以 保密 ， 只 有 持 有 人 知道 它 的 存在 。 但 这 两 种 钥 
匙 都 必须 加 以 保证 ， 防 止 被 修改 。 也 就 是 每 个 人 都 有 一 对 密 钥 ， 一 个 私 钥 和 一 个 公 和 钥 ， 他 
们 在 数字 上 相关 ， 在 功能 上 不 同 。 一 个 密 钥 锁 上 的 用 另 一 个 可 以 打开 。SSL 使 用 公 钥 加 密 
(Public Key Cryptography )， 该 技术 使 用 两 个 加 密 的 密 钥 来 保证 会 话 的 安全 ， 公 共 钥 匙 加 密 
算法 主要 有 两 种 用 途 。 


第 10 章 ”电子 商务 网 站 的 安全 


。 数据 加 密 发 送 者 用 接收 者 的 公 钥 对 要 发 送 的 数据 加 密 ， 接 收 者 用 自己 的 私 钥 对 接 
收 到 的 数据 解密 ， 第 三 者 由 于 不 知道 接收 者 的 私 钥 而 无 法 破译 该 数据 。 
。 身份 确认 : 发 送 者 可 以 用 自己 的 私 钥 对 要 发 送 的 数据 做 一 “数字 签名 ”， 接 收 者 通 
过 验证 “数字 签名 ”就 可 准确 确定 数据 的 来 源 。 公 共 钥 是 加 密 算法 又 称 为 非 对 称 加 
密 算法 ， 常 见 的 有 RSA、DSA 等 。 
公共 密 钥 方案 较 保 密 密 钥 方案 处 理 速度 慢 ， 因 此 ， 通 常 把 公共 密 钥 与 专用 密 钥 技术 结 
合 起 来 实现 最 佳 性 能 。 即 用 公共 密 钥 技术 在 通信 双方 之 间 传送 专用 密 钥 ， 而 用 专用 密 钥 来 
对 实际 传输 的 数据 加 密 解 密 。 另 外 ， 公 钥 加 密 也 用 来 对 专用 密 钥 进行 加 密 ， 而 SSL 就 采用 
了 两 者 的 结合 。 


10.2.2 ”数字 签名 


公 钥 体系 中 有 公 钥 和 私 钥 ， 私 钥 保持 私有 ， 只 有 拥有 者 才 知 道 ， 公 钥 分 布 广泛 〈 通 常 
作为 公共 证 书 的 一 部 分 ), 因此 , 任何 人 都 能 用 公 钥 加 密 数据 , 而 只 有 私 钥 拥 有 者 才能 解密 。 
另外 ， 私 钥 拥 有 者 用 私 钥 加 密 数据 ， 任 何 拥有 公 钥 的 人 都 能 解除 开 ， 被 称 为 数字 签名 。 在 
这 种 情况 下 ， 签 名 者 产生 一 个 数字 信息 〈 例 如 HASH) 使 用 协商 好 的 算法 ， 然 后 用 私 钥 加 
密 。 接 收 者 能 验证 私 钥 拥 有 者 发 送 的 消息 ， 用 签名 者 的 公 钥 解 开 加 密 的 信息 ， 并 产生 收 到 
信息 的 相 匹 配 的 摘要 。 

RSA 公 钥 体系 就 可 以 用 于 对 数据 信息 进行 数字 签名 。 所 谓 数字 签名 就 是 信息 发 送 者 用 
其 私 钥 对 从 所 传 报 文中 提取 出 的 特征 数据 或 称 数字 指纹 进行 RSA 算法 解密 运算 操作 , 得 到 
发 信者 对 该 数字 指纹 的 签名 函数 了 mn)。 签 名 函数 H(m) 从 技术 上 标识 了 发 信者 对 该 电文 的 
数字 指纹 的 责任 。 因 为 发 信者 的 私 钥 只 有 他 本 人 才 有 ， 所 以 他 一 旦 完成 了 签名 便 保证 了 发 
信人 无 法 抵赖 曾 发 过 该 信息 ( 即 不 可 抵赖 性 )。 经 验证 无 误 的 签名 电文 同时 也 确保 信息 报 文 
在 经 签名 后 未 被 算 改 ( 即 完整 性 )。 当 信息 接收 者 收 到 报 文 后 ,就 可 以 用 发 送 者 的 公 钥 对 数 
字 签 名 的 真实 性 进行 验证 。 例 如 美国 参议 院 已 通过 了 立法 ， 数 字 签 名 与 手书 签名 的 文件 具 
有 同等 的 法 律 效力 。 

在 数字 签名 中 有 重要 作用 的 数字 指纹 ， 是 通过 一 类 特殊 的 散 列 函数 (HASH 函数 ) 生 
成 的 ， 对 这 些 HASH 函数 的 特殊 要 求 是 : 

。 接收 的 输入 报 文 数据 没有 长 度 限 制 。 

。 对 任何 输入 报 文 数据 生成 固定 长 度 的 摘要 (数字 指纹 )， 并 输出 。 

。 从 报 文 能 方便 地 算出 摘要 。 

。 难以 对 指定 的 摘要 生成 一 个 报 文 ， 而 由 该 报 文 可 以 算出 该 指定 的 摘要 。 

。 难以 生成 具有 相同 摘要 的 两 个 不 同 的 报 文 。 


10.3 ”电子 商务 中 的 认证 
公用 密 钥 的 优点 就 在 于 ， 也 许 你 并 不 认识 某 一 实体 ， 但 只 要 你 的 服务 器 认为 该 实体 的 


CA 是 可 靠 的 ， 就 可 以 进行 安全 通信 ， 而 这 正 是 Web 商务 所 要 求 的 ， 例 如 信用 卡 购物 。 服 
务 方 对 自己 的 资源 可 根据 客户 CA 的 发 行 机 构 的 可 靠 程度 来 授权 。SSL 使 用 数字 证 书 
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(Digital Certificate )， 这 是 一 些 被 CA (Certificate Authority) 所 发 布 的 文件 ， 它 们 作为 应 用 
程序 或 用 户 的 信用 卡 。 数 字 证 书 是 一 些 文本 文件 ， 这 些 文本 文件 包含 了 识别 应 用 程序 或 用 
户 身份 的 信息 。 证 书 中 也 包含 了 应 用 程序 或 用 户 的 公 钥 。CA 是 可 信赖 的 代理 ， 负 责 确认 
应 用 程序 或 用 户 身份 ， 并 为 识别 身份 发 布 数 字 证 书 。 一 个 第 三 方 的 CA 组 织 的 例子 是 
VeriSign: www.verisign.com。 

Intemet 信息 服务 管理 员 可 以 使 用 微软 Certificate Service 作为 自己 的 CA， 在 自己 的 机 
构 中 按照 需要 发 布 或 撤销 数字 证 书 。 

安装 在 IIS 服务 器 上 用 来 为 服务 器 提供 身份 证 明 的 证 书 叫 做 服务 器 证 书 ， 安 装 在 客户 
浏览 器 端的 叫做 客户 证 书 。 服 务 器 和 客户 端的 证 书 都 必须 被 CA 签发 (证 明 是 合法 的 )。 用 
来 标识 CA 的 证 书 就 是 所 谓 的 站 点 证 书 或 CA 证 书 ， 它 是 CA 签发 的 。 

证 书 会 过 期 ， 如 果 需 要 ， 证 书 可 以 撤销 ，CA 保持 被 撤销 证 书 的 列表 ， 该 证 书 列表 用 
来 检查 数字 证 书 持 有 者 的 身份 。 

下 面 介绍 相关 的 概念 。 


10.3.1 认证 机 构 


CA 是 证 书 的 签发 机 构 。 构 建 密码 服务 系统 的 核心 内 容 是 如 何 实现 密 钥 管理 。 公 钥 体 
制 涉及 一 对 密 钥 ， 即 私 钥 和 公 钥 。 私 钥 只 由 持 有 者 秘密 掌握 ， 无 须 在 网 上 传送 ， 而 公 钥 是 
公开 的 ， 需 要 在 网 上 传送 ， 故 公 钥 体制 的 密 钥 管理 主要 是 公 钥 的 管理 问题 。 目 前 较 好 的 解 
决 方案 是 引进 证 书 机 制 。 

1. 证 书 


证 书 是 公开 密 钥 体制 的 一 种 密 钥 管理 媒介 。 它 是 一 种 权威 性 的 电子 文档 ， 形 同 网 络 计 
算 环 境 中 的 一 种 身份 证 ， 用 于 证 明 某 一 主体 (如 人、 服务 器 等 ) 的 身份 及 其 公开 密 钥 的 合 
法 性 。 在 使 用 公 钥 体制 的 网 络 环境 中 ,必须 向 公 钥 的 使 用 者 证 明 公 和 钥 的 真实 合法 性 。 因 此 ， 
在 公 钥 体制 环境 中 ， 必 须 有 一 个 可 信 的 机 构 来 对 任何 一 个 主体 的 公 钥 进行 公证 ， 证 明 主 体 
的 身份 以 及 它 与 公 钥 的 匹配 关系 。CA 正 是 这 样 的 机 构 ， 它 的 职责 是 验证 并 标识 证 书 申请 
者 的 身份 :确保 CA 用 于 签名 证 书 的 非 对 称 密 钥 的 质量 ;确保 整个 签证 过 程 的 安全 性 ， 确 
保 签 名 私 钥 的 安全 性 ; 管理 证 书 材料 信息 〈 包 括 公 钥 证 书 序列 号 、CA 标识 等 )， 确 定 并 检 
查证 书 的 有 效 期 限 ; 确保 证 书 主体 标识 的 唯一 性 ， 防 止 重 名 ; 发 布 并 维护 作废 证 书 表 ， 对 
整个 证 书签 发 过 程 做 日 志 记 录 ; 向 申请 人 发 通知 等 。 

CA 也 拥有 一 个 证 书 〈 内 含 公 钥 )， 当 然 ， 它 也 有 自己 的 私 钥 ， 所 以 它 有 签字 的 能 力 。 
网 上 的 公众 用 户 通 过 验证 CA 的 签字 从 而 信任 CA, 任何 人 都 应 该 可 以 得 到 CA 的 证 书 ( 含 
公 钥 )， 用 以 验证 它 所 签发 的 证 书 。 

如 果 用 户 想得到 一 份 属于 自己 的 证 书 ， 他 应 先 向 CA 提出 申请 。 在 CA 判明 申请 者 的 
身份 后 ， 便 为 他 分 配 一 个 公 钥 ， 并 且 CA 将 该 公 钥 与 申请 者 的 身份 信息 绑 在 一 起 ， 并 为 之 
签字 后 ， 便 形成 证 书 发 给 那个 用 户 《〈 申 请 者 )。 

如 果 一 个 用 户 想 鉴 别 另 一 个 证 书 的 真 伪 ， 他 就 用 CA 的 公 钥 对 那个 证 书 上 的 签字 进行 
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验证 (如 前 所 述 ，CA 签字 实际 上 是 经 过 CA 私 钥 加 密 的 信息 ， 签 字 验 证 的 过 程 还 伴随 使 
用 CA 公 钥 解密 的 过 程 )， 一 旦 验证 通过 ， 该 证 书 就 被 认为 是 有 效 的 。CA 除了 签发 证 书 之 
外 ， 它 的 另 一 个 重要 作用 是 证 书 和 密 钥 的 管理 。 
此 可 见 ， 证 书 就 是 用 户 在 网 上 的 电子 个 人 身份 证 ， 同 日 常生 活 中 使 用 的 个 人 身份 证 
作用 一 样 。CA 相当 于 网 上 公安 局 ， 专 门 发 放 、 验 证 身份 证 ， 所 以 是 发 放 和 管理 用 户 的 数 
字 证 书 。 
由 于 认证 机 构 发 放 的 证 书 是 供 各 种 各 样 的 应 用 程序 适用 的 ， 因 此 它 必须 遵循 一 定 的 工 
业 标 准 。 

1) 加 密 标准 

数字 证 书 及 数字 签字 实质 是 信息 加 密 ， 通 用 的 加 密 标准 有 如 下 算法 。 

。 对 称 加 密 算法 : 如 DES、Tripl-DES、RC2、RC4 和 CAST 等 。 

。 非 对 称 加 密 算 法 : 如 RSA、DSA 和 Diffie-Hellman 等 。 

。 散 列 算法 : 如 SHA-1、MD5 等 。 

2) 证 书 标准 

通用 的 证 书 标准 是 X.509。 


2. 认证 中 心 


认证 中 心 就 是 一 个 负责 发 放 和 管理 数字 证 书 的 权威 机 构 。 对 于 一 个 大 型 的 应 用 环境 ， 
认证 中 心 往往 采用 一 种 多 层次 的 分 级 结构 ， 各 级 的 认证 中 心 类 似 于 各 级 行政 机 关 ， 上 级 认 
证 中 心 负责 签发 和 管理 下 级 认证 中 心 的 证 书 ， 最 下 一 级 的 认证 中 心 直 接 面向 最 终 用 户 。 处 
在 最 高 层 的 认证 中 心 ， 它 是 所 有 人 公认 的 权威 ， 如 入 民 银 行 总 行 的 CA。 

认证 中 心 有 和 颁发 、 更 新 、 查 询 、 作 上 废 和 归档 5 项 功能 。 

1) 颁发 功能 

中 心 接收 、 验 证 用 户 〈 包 括 下 级 认证 中 心 和 最 终 用 户 ) 的 数字 证 书 的 申请 ， 将 申请 的 
内 容 进行 备案 ， 并 根据 申请 的 内 容 确定 是 否 受 理 该 数字 证 书 申 请 。 如 果 中 心 接受 该 数字 证 
书 申请 ， 则 进一步 确定 给 用 户 颁 发 何 种 类 型 的 证 书 。 新 证 书 用 认证 中 心 的 私 钥 签名 以 后 
发 送 到 目录 服务 器 供用 户 下载 和 查询 。 为 了 保证 消息 的 完整 性 ， 返 回 给 用 户 的 所 有 应 答 信 
息 都 要 使 用 认证 中 心 的 签名 。 

2) 更 新 功能 

认证 中 心 可 以 定期 更 新 所 有 用 户 的 证 书 ， 或 者 根据 用 户 的 请 求 来 更 新 用 户 的 证 书 。 

3) 查询 功能 

证 书 的 查询 可 以 分 为 两 类 ， 一 类 是 证 书 申请 的 查询 ， 认 证 中 心 根据 用 户 的 查询 请 求 返 
相当 前 用 户 证 书 申请 的 处 理 过 程 ， 另 一 类 是 用 户 证 书 的 查询 ， 这 类 查询 由 目录 服务 器 来 完 
成 ， 目 录 服 务 器 根据 用 户 的 请 求 返回 适当 的 证 书 。 

4) 作废 功能 

当 用 户 的 私 钥 由 于 泄密 等 原因 造成 用 户 证 书 需 要 申请 作废 时 ， 用 户 需要 向 认证 中 心 提 
出 证 书 作废 请 求 ， 认 证 中 心 根据 用 户 的 请 求 确定 是 否 将 该 证 书 作废 。 

另外 一 种 证 书 作废 的 情况 是 证 书 已 经 过 了 有 效 期 ， 认 证 中 心 自动 将 该 证 书 作 废 。 认 证 
中 心 通过 维护 证 书 作废 列表 完成 上 述 功能 。 


El 
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5) 归档 功能 

证 书 具 有 一 定 的 有 效 期 ， 证 书 过 了 有 效 期 之 后 就 被 作废 ， 但 是 不 能 将 作废 的 证 书简 单 
地 丢弃 ， 因 为 有 时 我 们 可 能 需要 验证 以 前 的 某 个 交易 过 程 中 产生 的 数字 签名 ， 这 时 就 需要 
查询 作废 的 证 书 。 基 于 此 类 考虑 ， 认 证 中 心 还 应 当 具 备 管理 作废 证 书 和 作废 私 钥 的 功能 。 

安全 认证 是 维持 电子 商务 活动 正常 进行 的 保证 ， 它 涉及 安全 管理 、 加 密 处 理 、PKI 及 
认证 管理 等 重要 问题 。 目前 已 经 有 一 套 完整 的 技术 解决 方案 可 以 应 用 。 采 用 国际 通用 的 PKI 
技术 、X.509 证 书 标准 和 X.500 信息 发 布 标准 等 技术 标准 可 以 安全 发 放 证 书 ， 进 行 安全 认 
证 。 当 然 ， 认 证 机 制 还 需要 法 律 法 规 支持 。 安 全 认证 需要 的 法 律 问题 包括 信用 立法 、 电 子 
签名 法 、 电 子 交 易 法 、 认 证 管理 法 律 等 。 在 我 国 ， 安 全 认证 工作 已 经 应 用 到 电子 商务 工程 
中 ， 相 信 这 将 大 大 促进 我 国电 子 商务 的 开展 。 


10.3.2 ”数字 证 书 


数字 证 书 是 一 种 能 在 完全 开放 系统 使 用 的 。 如 互联 网 络 的 用 户 群 〈 绝 不 是 几 个 人 互相 
信任 的 小 集体 )， 在 这 个 用 户 群 中 ， 从 法 律 角度 讲 ， 用 户 彼此 之 间 都 不 能 轻易 信任 。 所 以 公 
钥 加 密 体系 采取 了 另 一 个 办 法 ， 将 公 钥 和 公 钥 的 主人 名 字 联 系 在 一 起 ， 再 请 一 个 大 家 都 信 
得 过 的 有 信誉 的 公正 、 权 威 机 构 确认 ， 并 加 上 这 个 权威 机 构 的 签名 ， 就 形成 了 证 书 。 

由 于 证 书 上 有 权威 机 构 的 签字 ， 所 以 大 家 都 认为 证 书 上 的 内 容 是 可 信任 的 ， 又 由 于 证 
书 上 有 主人 的 名 字 等 身份 信息 ， 别 人 就 很 容易 地 知道 公 钥 的 主人 是 谁 。 公 钥 体 制 涉 及 一 对 
密 钥 ， 即 私 钥 和 公 钥 。 私 钥 只 由 持 有 者 秘密 掌握 ， 无 须 在 网 上 传送 ， 而 公 钥 是 公开 的 ， 需 
要 在 网 上 传送 ， 故 公 钥 体制 的 密 钥 管理 主要 是 公 钥 的 管理 问题 。 目 前 较 好 的 解决 方案 是 引 
进 证 书 机 制 。 

1. 证 书 的 格式 与 证 书 的 发 放 


证 书 是 公开 密 钥 体 制 的 一 种 密 钥 管 理 媒介 。 它 是 一 种 权威 性 的 电子 文档 ， 形 同 网 络 计 
算 环 境 中 的 一 种 身份 证 ， 用 于 证 明 某 一 主体 (如 人、 服务 器 等 ) 的 身份 及 其 公开 密 钥 的 合 
法 性 。 在 使 用 公 钥 体制 的 网 络 环境 中 ,必须 向 公 钥 的 使 用 者 证 明 公 钥 的 真实 合法 性 。 因 此 ， 
在 公 钥 体制 环境 中 ， 必 须 有 一 个 可 信 的 机 构 来 对 任何 一 个 主体 的 公 钥 进行 公证 ， 证 明 主 体 
的 身份 以 及 它 与 公 钥 的 匹配 关系 。 数 字 证 书 格式 的 通用 标准 是 X.509。 根 据 该 标准 ， 数 字 
证 书 应 有 下 列 信息 : 

。 版 本 号 。 

。 序列 号 。 

。 签字 算法 。 

。 发 出 该 证 书 的 认证 机 构 。 

。 有 效 期 限 。 

。 主题 信息 ， 包 括 持 有 人 的 姓名 、 服 务 处 所 等 信息 。 

。 公共 密 钥 信息 。 

。 认证 机 构 的 数字 签字 。 

在 X.509 标准 的 扩展 部 分 ， 认 证 机 构 可 以 说 明 该 证 书 的 附加 信息 ， 如 密 钥 用 途 等 。 
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用 户 想 获得 认证 机 构 的 证 书 ， 首 先 要 向 认证 机 构 提 出 申请 ， 说 明 自 己 的 身份 。 认 证 机 
构 在 认真 查验 用 户 的 身份 后 ， 向 用 户 发 出 相应 的 数字 证 书 。 

认证 机 构 在 发 放 证 书 时 要 遵循 一 定 的 准则 ， 如 要 保证 自己 发 出 的 证 书 的 序列 号 没有 相 
同 的 ， 没 有 两 个 不 同 的 实体 获得 的 证 书 中 的 主题 内 容 是 一 致 的 ， 不 同 主题 内 容 的 证 书 所 包 
含 的 公开 密 钥 要 不 相同 等 。 

2. 证 书 的 管理 


认证 机 构 应 有 一 个 证 书 管理 机 构 来 管理 它 发 出 的 所 有 证 书 ， 包 括 如 下 管理 功能 。 

。 用 户 能 方便 地 查找 各 种 证 书 及 已 经 撤销 的 证 书 。 用 户 在 验证 发 送 方 数字 签字 时 需要 
验证 用 户 的 身份 ， 这 就 要 检验 发 送 方 的 数字 证 书 。 由 于 该 证 书 可 能 在 其 有 效 期 限 内 
被 认证 机 构 撤 销 ， 用 户 往往 要 检查 认证 机 构 的 已 撤销 证 书 。 因 此 ， 能 否 给 用 户 提供 
方便 的 证 书 查询 功能 ， 是 认证 机 构 是 否 成 功 的 重要 标准 之 一 。 

。 根据 用 户 请 求 或 其 他 相关 信息 撤销 用 户 的 证 书 。 用 户 的 身份 并 不 是 一 成 不 变 的 。 如 
用 户 的 服务 处 所 改变 后 ， 用 户 的 身份 也 就 改变 了 。 这 时 ， 原 来 的 证 书 虽 在 有 效 期 限 
内 ， 但 已 无 意义 ， 认 证 机 构 就 应 该 根据 用 户 的 请 求 ， 撤 销 该 证 书 。 

。 根据 证 书 的 有 效 期 限 自动 地 撤销 证 书 。 

。 完成 证 书 数据 库 的 备份 工作 。 


3. 证 书库 


证 书库 是 证 书 的 集中 存放 地 ， 它 与 网 上 “ 白 页 ”类 似 ， 是 Intemet 上 的 一 种 公共 信息 
库 ， 用 户 可 从 此 处 获得 其 他 用 户 的 证 书 和 公 钥 。 构 造 证 书库 的 最 佳 方法 是 采用 支持 LDAP 
协议 的 目录 系统 ， 用 户 或 相关 的 应 用 通过 LDAP 来 访问 证 书库 。 系 统 必 须 确保 证 书库 的 完 
整 性 ， 防 止 伪造 、 自 改 证 书 。 


4 密 钥 备 份 及 恢复 系统 


如 果 用 户 丢失 了 用 于 解密 数据 的 密 钥 , 则 密 文 数据 将 无 法 被 解密 ,从 而 造成 数据 丢失 。 
为 避免 这 种 情况 的 出 现 ，PKI 应 该 提供 备份 与 恢复 解密 密 钥 的 机 制 。 密 钥 的 备份 与 恢复 应 
该 由 可 信 的 机 构 来 完成 ， 例 如 CA 可 以 充当 这 一 角色 。 值 得 强调 的 是 ， 密 钥 备 份 与 恢复 只 
能 针对 解密 密 钥 ， 签 名 私 钥 不 能 够 做 备份 。 


5. 证 书 作废 处 理 系统 


证 书 作 废 处 理 系统 是 PKI 的 一 个 重要 组 件 。 同 日 常生 活 中 的 各 种 证 件 一 样 ， 证 书 在 
CA 为 其 签署 的 有 效 期 以 内 也 可 能 需要 作废 。 例 如 ，A 公司 的 职员 a 辞职 离开 公司 ， 这 就 
需要 终止 a 证 书 的 生命 期 。 为 实现 这 一 点 ，PKI 必须 提供 作废 证 书 的 一 系列 机 制 。 作 废 证 
书 有 三 种 策略 : 一 是 作废 一 个 或 多 个 主体 的 证 书 ; 二 是 作废 由 某 一 对 密 钥 签发 的 所 有 证 书 ; 
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三 是 作废 由 某 CA 签发 的 所 有 证 书 。 

作废 证 书 一 般 通 过 将 证 书 列 入 作废 证 书 表 (CRL) 来 完成 。 通 常 ， 系 统 中 由 CA 负责 
创建 并 维护 一 张 及 时 更 新 的 CRL， 而 由 用 户 在 验证 证 书 时 负责 检查 该 证 书 是 否 在 CRL 之 
列 。CRL 一 般 存放 在 目录 系统 中 。 证 书 的 作废 处 理 必须 在 安全 及 可 验证 的 情况 下 进行 ， 系 
统 还 必须 保证 CRL 的 完整 性 。 


6. 客户 端 证 书 处 理 系统 


客户 端 证 书 与 浏览 器 有 关 ， 证 书 申请 人 可 以 通过 浏览 器 申请 和 下 载 证 书 ， 并 安装 在 浏 
览 器 上 使 用 。 


7. 认证 算法 


认证 算法 采用 X.509 电子 证 书 标准 ， 通 过 使 用 RSA 算法 进行 数字 签名 来 实现 。 

1) 服务 器 的 认证 

在 加 密 算法 和 会 话 密 钥 产生 的 两 对 密 钥 中 ， 服 务 器 方 的 写 密 铀 和 客户 方 的 读 密 铀 、 客 
户 方 的 写 密 钥 和 服务 器 方 的 读 密 钥 分 别 是 一 对 私有 、 公 有 密 钥 。 对 服务 器 进行 认证 时 ， 只 
有 用 正确 的 服务 器 方 的 写 密 钥 加 密 CLIENT-HELLO 消息 形成 的 数字 签名 ， 才 能 被 客户 
正确 地 解密 ， 从 而 验证 服务 器 的 身份 。 若 通信 双方 不 需要 新 的 密 铀 ， 则 它们 各 自 所 拥有 
的 密 钥 已经 符合 上 述 条 件 ; 若 通信 双方 需要 新 的 密 钥 ， 首 先 服务 器 方 在 SERVER-HELLO 
消息 中 的 服务 器 证 书 中 提供 服务 器 的 公有 密 钥 ， 服 务 器 用 其 私有 密 钥 才 能 正确 地 解密 由 
客户 方 使 用 服务 器 的 公有 密 钥 加 密 的 MASTER-KEY， 从 而 获得 服务 器 方 的 读 密 钥 和 写 

2) 客户 的 认证 

同样 ， 只 有 用 正确 的 客户 方 的 写 密 钥 加 密 的 内 容 ， 才 能 被 服务 器 方 用 其 读 密 钥 正确 地 
解 开 。 当 客户 收 到 服务 器 方 发 出 的 REQUEST-CERTIFICATE 消息 时 ， 客 户 首先 使 用 MD5 
消息 散 列 函数 获得 服务 器 方 信息 的 摘要 ， 服 务 器 方 的 信息 包括 KEY-MATERIAL-0、 
KEY-MATERIAL-1 、KEY-MATERIAL-2、CERTIFICATE-CHALLENAGE-DATA (来 自 于 
REQUESTCERTIFICATE 消息 ) 和 服务 器 所 赋予 的 证 书 (来 自 于 SERVER-HELLO) 消息 。 
其 中 KEY-MATERIAL-1 和 KEYMATERIAL-2 是 可 选 的 , 与 具体 的 加 密 算法 有 关 。 然 后 客 
户 使 用 自己 的 读 密 钥 加 密 摘要 形成 数字 签名 ， 从 而 被 服务 器 认证 。 


8. 钥匙 交换 (Key Exchange) 
在 实际 应 用 中 通常 综合 使 用 对 称 算法 和 非 对 称 算法 相 结 合 的 算法 ， 源 数据 采用 对 称 算 


法 加 密 ， 对 称 算法 的 钥匙 称 为 Session Key， 则 用 非 对 称 算法 加 密 后 在 通信 双方 间 交 换 ， 如 
10-3 所 示 。 
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机 


客户 用 服务 器 的 加 密 客户 生成 一 随机 
Session Key Session Key 


公 钥 客户 


客户 发 送 加 密 过 ”网 络 
的 Session Key 


8 服务 器 
服务 器 用 自己 现在 服务 器 和 客 
的 私 钥 解密 户 拥有 相同 的 
Session Key Session Key 
图 10-3 


10.4 ”SSL 协议 


随 着 计算 机 网 络 技术 向 整个 社会 各 层次 延伸 ， 整 个 社会 表现 为 对 Intemet、Intranet 和 
Extranet 等 使 用 的 更 大 的 依赖 性 。 随 着 企业 间 信 息 交互 的 不 断 增加 ， 任 何 一 种 网 络 应 用 和 
增值 服务 的 使 用 程度 将 取决 于 所 使 用 网 络 的 信息 安全 有 无 保障 ， 网 络 安全 已 成 为 现代 计算 
机 网 络 应 用 的 最 大 障碍 ,也 是 急需 解决 的 难题 之 一 。 由 于 Web 上 有 时 要 传输 重要 或 敏感 的 
数据 ， 因 此 Netscape〈 网 景 ) 公司 在 推出 Web 浏览 器 的 同时 ， 提 出 了 安全 套 接 〈 层 ) SSL 
(Secure Sockets Lager) 协议 ， 目 前 已 有 2.0 和 3.0 版 本 。 它 包括 服务 器 认证 、 客 户 认证 (可 
选 )、SSL 链 路 上 的 数据 完整 性 和 SSL 链 路 上 的 数据 保密 性 。 对 于 电子 商务 应 用 来 说 ， 使 
用 SSL 可 保证 信息 的 真实 性 、 完整 性 和 保密 性 。 但 由 于 SSL 不 对 应 用 层 的 消息 进行 数字 签 
名 , 因此 不 能 提供 交易 的 不 可 否认 性 , 这 是 SSL 在 电子 商务 中 使 用 的 最 大 不 足 。 有 鉴于 此 ， 
网 景 公司 在 从 Communicator 4.04 版 开始 的 所 有 浏览 器 中 ,引入 了 一 种 称 做 “表单 签名 (Form 
Signing)” 的 功能 ， 在 电子 商务 中 ， 可 利用 这 一 功能 来 对 包含 购买 者 的 订购 信息 和 付款 指 
令 的 表单 进行 数字 签名 ， 从 而 保证 交易 信息 的 不 可 否认 性 。SSL 采用 公开 密 钥 技术 (在 上 
节 中 已 经 详细 叙述 )。 其 目标 是 保证 两 个 应 用 间 通 信 的 保密 性 和 可 靠 性 , 可 在 服务 器 和 客户 
机 两 端 同时 实现 支持 。SSL 协议 是 使 用 公开 密 钥 体 制 和 X.509 数字 证 书 技术 保护 信息 传输 
的 机 密 性 和 完整 性 ， 主 要 适用 于 点 对 点 之 间 的 信息 传输 ， 常 用 Web Server 方 式 。 目 前 ， 利 
用 公开 密 钥 技 术 的 SSL 协议 ， 并 已 成 为 mternet 上 保密 通信 的 工业 标准 。 现 行 Web 浏览 器 
普遍 将 HT-TP 和 SSL 相 结合 ， 从 而 实现 安全 通信 。 

目前 几乎 所 有 处 理 具有 敏感 度 的 资料 、 财 务 资料 或 者 要 求 身份 认证 的 网 站 都 会 使 用 
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SSL 加 密 技 术 ，SSL 可 以 是 一 种 浏览 器 和 网 络 服务 器 之 间 的 受 密码 保护 的 安全 通道 。 在 
Internet 上 访问 某 些 网 站 时 你 会 注意 到 在 浏览 器 窗口 的 下 方 会 显示 一 个 锁 状 的 小 图 标 。 这 个 
小 锁 表 示 该 网 页 被 SSL 保护 着 。SSL 是 一 种 用 于 网 站 安全 连接 的 协议 或 技术 )， 所 谓 的 
安全 连接 有 两 个 作用 , 首先 是 SSL 可 以 提供 信息 交互 双方 认证 对 方 的 身份 标识 。 显而易见 ， 
这 对 与 对 方 交换 机 密 信息 前 确切 了 解 对 方 身份 是 非常 重要 的 。SSL 通过 数字 证 书 的 技术 实 
现 ， 使 得 这 一 需求 得 以 满足 。 另 一 个 是 它 能 够 使 数据 以 不 可 读 的 格式 传输 ， 以 利于 在 不 可 
信和 网 络 例 如 Intemet) 上 的 安全 传输 需要 。 这 种 不 可 读 格 式 通常 由 加 密 技术 实现 。 


10.4.1 协议 概述 


SSL 协议 基本 的 目标 是 在 两 个 通信 应 用 中 提供 秘密 的 可 靠 的 通信 。 这 个 协议 由 两 层 组 
成 ， 最 低层 是 在 一 些 可 信任 的 传输 层 之 上 (如 TCP/IP 记录 协议 )。SSL 记录 协议 是 用 于 封 
装 一 系列 较 高 层 协议 。 一 个 就 是 封闭 这 样 的 协议 如 SSL 握手 协议 ,在 应 用 层 传输 或 者 接收 
第 一 字 节 数据 之 前 ， 允 许 服 务 器 和 客户 彼此 鉴定 并 且 协 商 密码 运算 法 则 和 加 密 密 钥 。SSL 
的 一 个 优势 在 于 它 是 一 个 独立 的 应 用 协议 。 一 个 较 高 层 的 协议 可 以 透明 地 放 到 SSL 协议 
之 

SSL 协议 是 在 Internet 基础 上 提供 的 一 种 保证 私密 性 的 安全 协议 。 它 能 使 客户 与 服务 
器 应 用 之 间 的 通信 不 被 攻击 者 窃听 ， 并 且 始 终 对 服务 器 进行 认证 ， 还 可 选择 对 客户 进行 认 
证 。SSL 协议 要 求 建立 在 可 靠 的 传输 层 协议 〈 例 如 TCP) 之 上 。SSL 协议 的 优势 在 于 它 是 
与 应 用 层 协议 独立 无 关 的 。 高 层 的 应 用 层 协议 〈 例 如 HTTP、FTP 和 TELNET 等 ) 能 透明 
地 建立 于 SSL 协议 之 上 。SSL 协议 在 应 用 层 协 议 通信 之 前 就 已 经 完成 加 密 算 法 、 通 信 密 钥 
的 协商 以 及 服务 器 认证 工作 。 在 此 之 后 ， 应 用 层 协议 所 传送 的 数据 都 会 被 加 密 ， 从 而 保证 
通信 的 私密 性 。 

SSL 是 一 个 介 于 HTTP 协议 与 TCP/IP 之 间 的 可 选 层 ，SSL 在 参数 模型 中 的 位 置 如 
图 10-4 所 示 。 


应 用 层 (HTTP) 
客户 机 服务 器 
Client i Server 
SSL 
传输 层 (TCP/IP) 
图 10-4 


1. TCP/IP 层 


TCP/IP 层 是 处 理 从 源 端 到 目的 网 络 数据 包 的 传送 。TCP/IP 会 话 的 基础 是 一 个 层 
(Client) 和 另 一 个 对 等 层 (Server) 建立 网 络 连接 。 连 接 用 于 两 个 对 等 层 的 会 话 期 间 ， 当 
会 话 结束 ， 连 接 被 释放 。 
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2. 应 用 层 


应 用 层 定义 公共 的 共享 协议 , 这 些 协 议 被 用 于 建立 TCP/IP 连接 的 通信 中 。 例如 , HTTP 
协议 是 Web 客户 和 Web 服务 器 用 于 通信 的 协议 应 用 层 的 会 话 在 对 一 个 服务 器 建立 TCP/IP 
时 进行 初始 化 ,服务 器 应 使 常用 端口 , 如 HTTP 的 典型 的 端口 是 80， 所 以 将 在 服务 器 的 80 
端口 建立 HTTP 会 话 的 TCP/IP 连接 。 


3. SSL 层 


SSL 层 用 于 验证 最 终 安全 的 应 用 层 通 信 内 容 。SSL 安全 连接 在 建立 对 等 层 的 鉴别 和 以 
安全 的 方式 建立 加 密 方式 和 密 钥 时 , 应 用 层 的 通信 才能 进行 ,所 有 输入 通信 量 被 中 间 的 SSL 
层 解码 并 且 传送 给 应 用 层 ， 在 发 送 以 前 输出 通信 量 被 SSL 层 加 密 。 

SSL 层 借助 下 层 协议 的 信道 安全 地 协商 出 一 份 加 密 密 钥 , 并 用 此 密 钥 来 加 密 HTTP 请 求 。 

实际 上 ，SSL 安全 服务 器 是 典型 的 运行 在 不 同 的 上 层 应 用 的 端口 ， 如 HTTPS 运行 在 
443 端口 。 开 始 使 用 SSL 时 ， 必 须 进 入 运行 HTTPS 而 不 是 HTTPS 的 URL。 相 应 地 ，SSL 
使 用 的 默认 端口 为 443 而 不 是 80。 首先 由 浏览 器 向 服务 器 端 发 送 使 用 SSL 的 联络 信号 , 其 
中 包括 加 密 方法 和 压缩 模式 。 如 果 服 务 器 支持 SSL 应 用 ， 就 回应 一 个 信号 ， 也 向 客户 发 送 
自己 的 加 密 方法 和 压缩 模式 ， 包 括 它 的 证 书 及 随机 产生 的 数据 ， 后 者 将 会 在 执行 协议 时 
用 到 。 

客户 端 用 服务 器 发 送 的 信息 验证 服务 器 身份 ， 检 查 所 连 服务 器 名 与 其 证 书 是 否 相符 ， 
并 确定 其 证 书 是 否 有 效 。 

该 认证 过 程 还 包括 检验 证 书 上 的 数字 签名 ， 这 种 数字 签名 必须 是 由 客户 端 信任 的 认证 
机 构 签 发 的 公 钥 中 的 一 个 ， 它 们 或 是 预先 存放 在 浏览 器 里 ， 或 是 后 来 提供 给 用 户 的 。 如 果 
发 现 证 书 与 服务 器 名 不 符合 ， 或 者 不 是 由 某 个 认证 机 构 签发 的 ， 客 户 可 立即 中 止 连 接 。 

客户 完成 认证 之 后 ， 就 发 送 他 自身 的 随机 数据 ， 并 且 根据 所 选择 的 密 钥 交换 协议 ， 来 
决定 发 送 一 个 加 密 密 钥 还 是 发 送 一 组 确定 该 密 钥 的 数据 。 这 个 密 钥 将 用 来 产生 会 话 密 钥 ， 
以 及 在 交换 数据 信息 时 为 数据 加 密 ， 同 时 还 将 为 这 些 数据 信息 进行 数字 化 签名 ， 以 维护 被 
交换 数据 的 完整 性 并 对 其 提供 认证 。 服 务 器 端 也 可 以 要 求 客户 端 提供 证 书 ， 并 对 浏览 器 用 
户 进行 认证 。 

如 果 双 方 握手 成 功 ， 浏 览 器 就 向 Web 服务 器 发 送 完成 信号 ， 服 务 器 也 以 自己 的 完成 信 
号 作为 响应 ， 于 是 双方 交换 加 密 信息 和 经 数字 签名 的 数据 。 

密 钥 交换 在 计算 机 操作 中 需要 花费 一 段 较 长 的 时 间 。 因 此 ，SSL 协议 中 还 包括 减少 不 
必要 的 密 钥 交换 量 。 假 如 Web 浏览 器 连接 另 一 个 同样 使 用 SSL 的 服务 器 ， 就 可 以 向 它 发 
送 一 个 会 话 标识 符 ， 如 果 服 务 器 接受 该 标识 符 ， 那 么 它们 就 可 以 使 用 原来 约定 的 加 密 、 压 
缩 算法 及 公用 的 密 钥 ， 相 互 间 进行 信息 交换 。 


10.4.2 ”SSL 协议 连接 安全 的 特征 


SSL 协议 提供 连接 安全 有 三 个 基本 的 特征 。 
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1. 私密 性 


这 种 连接 是 私有 的 ， 加 密 被 用 于 在 初始 化 握手 且 定 义 一 个 密 钥 ， 对 称 加 密 被 用 于 数据 
加 密 (如 DEC、RC4 等 )。 


2. 确认 性 
对 等 的 身份 使 用 非 对 称 加 密 或 公 钥 加 密 能 被 鉴别 (如 RSA、DSS 等 )。 
3. 可 靠 性 


连接 是 可 靠 的， 信息 传送 包括 信息 完整 性 检验 ， 它 使 用 信息 验证 控制 (Message 
Authenticate Control，MAC ) 规则 ， 安 全 信号 功能 (如 SHA、MD5 等 ) 被 用 于 MAC 计算 。 


10.4.3 ”协议 规范 


SSL 是 一 个 层 的 协议 ， 在 每 一 层 ， 信 息 可 以 包括 长 度 、 描 述 和 内 容 的 范围 。SSL 携带 
的 信息 在 发 送 方 可 以 随意 划分 数据 块 的 大 小 ， 压 缩 数据 ， 应 用 MAC 运算 法 则 以 及 加 密 等 
操作 进行 传送 ， 在 接收 端 对 接收 的 数据 进行 解密 、 验 证 、 解 压缩 ， 重 组 后 ， 传 送 高 层 客 
户 端 。 

1， 连 接 状态 (Session and Connection State) 


一 个 SSL 会 话 是 有 状态 的 ，SSL 握手 协议 的 职责 就 是 调整 客户 和 服务 器 的 状态 ， 因 此 
允许 每 一 个 协议 状态 的 机 器 一 吐 地 运转 ， 不 管 客户 机 和 服务 器 的 状态 是 否 一 致 ， 迪 辑 上 状 
态 表现 两 次 ， 一 次 被 看 作 是 目前 的 运转 状态 ， 并 且 【〈 在 握手 协议 过 程 中 ) 再 一 次 被 看 作 未 
决 的 状态 。 另 外 ， 独 立 的 读 和 写 状 态 被 维持 。 当 客户 或 服务 器 收 到 了 改变 密码 说 明 的 信息 
时 ， 它 复制 未 决 的 读 和 写 状 态 。 当 客户 或 服务 器 发 送 改变 密码 说 明 的 信息 时 ， 它 复制 未 决 
的 写 状态 进入 当前 的 写 状态 。 当 握手 商议 已 完成 ， 客 户 和 服务 器 交换 改变 密码 说 明 信 息 ， 
然后 用 新 达成 的 密码 说 明 进 行 通信 。 一 个 SSL 会 话 可 以 包括 多 重 安全 连接 。 另 外 ， 用 户 可 
以 同时 参与 多 重 会 话 。 

1) 会 话 状态 包括 的 元 素 

。 会 话 检验 (Session Identifier): 一 个 任意 的 字 节 序列 被 服务 器 选取 去 识别 一 个 活动 


的 或 可 恢复 的 会 话 状 态 。 
。 对 等 的 证 书 (Peer Certificate ): X509.v3 [X509] 对 等 证 书 ， 这 个 元 素 的 状态 可 以 


。 压缩 方法 (Compression Method): 运算 法 则 被 用 作 先 于 加 密 技术 而 压缩 数据 。 

。 密码 规则 (说 明 ) (Cipher Spec): 详细 说 明 加 密 运 算法 则 (如 null、des 等 ) 和 一 个 
MAC 运算 法 则 (如 MD5、SHA) 的 数据 大 小 。 它 还 详细 说 明 用 密码 写 的 特征 ， 诸 
如 无 用 信号 的 大 小 。 

。 主要 的 密 钥 (Master Secret): 48 字 节 的 秘密 共享 在 客户 和 服务 器 之 间 。 

。 可 恢复 〈resumable): 一 个 标记 表明 是 否 这 个 会 话 可 被 用 作 初 始 化 一 个 新 的 连接 。 
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2) 连接 状态 包括 的 元 素 

。 随机 服务 器 和 客户 (Server and Client Random): 对 每 一 次 连接 ， 字 节 序 列 能 被 服务 
器 和 客户 随机 选取 。 

。 服务 器 写 MAC 密码 (Server Write MAC Secret): 在 MAC 数据 操作 中 使 用 的 密 钥 由 
服务 器 写 出 。 

。 客户 写 MAC 秘密 码 (Client Write MAC Secret): 由 客户 写 出 密 钥 。 

。 服务 器 写 密 钥 (Server Write Key): 由 服务 器 解密 并 由 客户 加 密 的 为 数据 写 的 大 量 

。 客户 写 密 钥 (Client Write Key): 由 客户 机 解密 并 由 服务 加 密 的 为 数据 写 的 大 量 密 钥 。 

2. SSL 协议 栈 


SSL 协议 主要 由 SSL 记录 协议 (Record Protocol) 和 SSL 握手 协议 (Handshake Protocol) 
两 部 分 组 成 。 其 中 握手 协议 是 用 来 协商 密 钥 的 ， 协 议 的 大 部 分 内 容 就 是 通信 双方 如 何 利用 
它 来 安全 地 协商 出 一 份 密 钥 。 记 录 协 议 则 定义 了 传输 的 格式 。 除 了 这 两 个 主要 协议 以 外 ， 
还 有 如 SSL 修改 密 文 协议 、SSL 警告 协议 等 相关 的 协议 。SSL 协议 栈 如 图 10-5 所 示 。 


SSL 握手 协议 ”| SSL 修改 密 文 协议 HTTP 传输 协议 


TCP 


图 10-5 


10.5 ”建立 安全 的 Web 站 点 


IIS (Intemet Information Server) 作为 当今 流行 的 Web 服务 器 之 一 ， 提 供 了 强大 的 
Internet 和 Intranet 服务 功能 ， 如 何 加 强 IIS 的 安全 机 制 ， 建 立 一 个 高 安全 性 能 的 Web 服务 
器 ， 已 成 为 IS 设置 中 不 可 忽视 的 重要 组 成 部 分 。 在 本 节 中 ， 将 使 用 SSL 把 IS 的 Web 站 
点 建成 为 一 个 安全 站 点 。 

IIS 的 身份 认证 有 一 种 安全 性 更 高 的 认证 ， 通 过 SSL 安全 机 制 使 用 数字 证 书 。SSL 位 
于 HTTP 层 和 TCP 层 之 间 , 用 于 建立 用 户 与 服务 器 之 间 的 加 密 通信 , 确保 所 传递 信息 的 安 
全 性 。SSL 是 工作 在 公共 密 钥 和 私人 密 钥 基 础 上 的 ， 任 何 用 户 都 可 以 获得 公共 密 钥 来 加 密 
数据 ， 但 解密 数据 必须 要 通过 相应 的 私人 密 钥 。 使 用 SSL 安全 机 制 时 ， 首 先 客户 端 与 服务 
器 建立 连接 ， 服 务 器 把 它 的 数字 证 书 与 公共 密 钥 一 并 发 送 给 客户 端 ， 客 户 端 随机 生成 会 话 
密 钥 ， 用 从 服务 器 得 到 的 公共 密 钥 对 会 话 密 钥 进 行 加 密 ， 并 把 会 话 密 钥 在 网 络 上 传递 给 服 
务 器 ， 而 会 话 密 钥 只 有 在 服务 器 端 用 私密 钥 才能 解密 ， 这 样 ， 客 户 端 和 服务 器 端 建立 了 一 
个 唯一 的 安全 通道 。 


10.5.1 建立 安全 的 Web 站 点 应 具备 的 条 件 


建立 安全 的 Web 站 点 ， 一 般 应 具备 以 下 三 个 条 件 。 
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1. 一 台 服 务 器 
一 台 装 有 Windows 2000 Server 的 服务 器 。 


2. 安装 了 IIS 服务 


在 安装 了 Windows 2000 Server 时 一 般 已 经 安装 了 IIS 服务 。 如 果 没 有 安装 ， 请 按照 下 
述 步骤 安装 。 

(1) 选择 “开始 ”一 “设置 ”一 “控制 面板 ”一 “添加 /删除 程序 ”一 “添加 /删除 Windows 
组 件 ”命令 ,打开 图 10-6 所 示 的 Windows 组 件 向 导 对 话 框 。 


图 10-6 


(2) 选中 “Intemet 信息 服务 ” 复 选 框 ， 如 图 10-6 所 示 。 
(3) 单 击 “下 一 步 ” 按钮 ， 将 出 现 向 导 中 的 “正在 配置 组 件 ” 对 话 框 ， 如 图 10-7 所 示 。 


10-7 
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(4) 因为 复制 Windows 2000 安装 盘 上 的 相关 文件 ， 所 以 在 相应 光驱 中 放 入 安装 盘 ， 
在 “文件 复制 来 源 ” 中 输入 文件 路 径 或 通过 “浏览 ”按钮 找到 文件 复制 来 源 的 路 径 ， 如 
图 10-8 所 示 。 


加 | 
二 需要 deny F000 SET CR 二 的 六 人 
取消 
输入 文件 所 在 的 路 径 ， 热 后 单 击 “确定 ”。 
文件 复制 来 源 开 ) 
Fa 本 ROR 
图 10-8 


(5) 单 击 “ 确 定 ” 按 钮 ， 开 始 安装 Intemet 信息 服务 ， 如 图 10-9 所 示 。 


[wndows 组 件 向 导 | 


正在 配置 组 件 
安装 程序 正 在 根据 的 请 求 ， 进行 可 得 更改。 


塌 请 移民 ， 安 装 程序 正在 取 置 起 促 。 所 和 时 问 职 决 于 选 定 的 相 仲 ， 


闫 者 正在 安装 Internet 信息 服务 


(6) 出 现 “ 完 成 “Windows 组 件 向 导 ”” 对 话 框 ， 如 图 10-10 所 示 ， 单 击 “ 完 成 ”按钮 
则 完成 IS 的 安装 。 


完成 “Windows 组 件 向 导 ” 


你 已 成 功 寺 完成 了 “findows 如 仲 各 导 ”。 


请 单 击 “ 完 或” 来 关闭 此 疝 导 . 
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3. 安装 证 书 服务 


在 安装 证 书 服务 之 前 ， 建 立 一 个 共享 文件 夹 ， 用 来 保存 CA 证 书 和 各 种 配置 文件 。 建 
立 共享 文件 夹 为 D:\Certificate。 下 面 是 安装 证 书 服务 的 具体 操作 步骤 。 

(1) 选择 “开始 ”一 “设置 ”一 “控制 面板 ”一 “添加 /删除 程序 ”一 “添加 /删除 Windows 
组 件 ” 命 令 ， 出 现 图 10-11 所 示 “Windows 组 件 ” 对 话 框 。 


图 10-11 
(2) 选中 “证 书 服务 ”组 件 的 复 选 框 ， 将 出 现 图 10-12 所 示 的 提示 对 话 框 。 


图 10-12 


(3) 单 击 “是 ”按钮 ， 出 现 图 10-13 所 示 的 “证 书 颁发 机 构 类 型 ”对 话 框 ， 其 中 各 选 
项 说 明 如 下 。 


10-13 
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。 企业 根 CA: 与 活动 目录 集成 以 判断 请 求 者 身份 ， 与 内 联网 一 起 使 用 。 
。 企业 从 属 CA: 属于 已 经 存在 的 Root 证 书 的 附属 证 书 。 
。 独立 根 CA: 默认 值 ， 此 请 求 将 发 送 到 一 个 等 待 队列 中 去 ， 然 后 发 送 给 管理 员 。 此 
项 不 需要 活动 目录 或 第 三 方 目录 服务 。 
。 独立 从 属 CA: 属于 已 经 存在 的 Root 证 书 。 
(4) 单 击 “ 下 一 步 ”按钮 ， 出 现 图 10-14 所 示 的 “CA 标识 信息 ”对 话 框 ， 在 对 话 框 中 
按 要 求 进 行 设置 ， 因 设置 较 简单 ， 这 里 不 详细 描述 。 


Windows 组 件 向 导 


图 10-14 


图 10-15 


(6) 单 击 “ 下 一 步 ” 按 钮 ， 开 始 安装 组 件 ， 出 现 “正在 配置 组 件 ” 对 话 框 ， 可 以 看 到 
配置 进度 ， 如 图 10-16 所 示 。 
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[Windows 组 件 自 导 = 
正在 配置 组 
安装 程序 正在 根据 您 的 请 求 ， 进 行 配置 更 改 。 


看 请 稍 候 ， 安 装 程序 正在 配置 组 件 。 所 花 时 间 职 决 于 选 定 的 组 件 。 


状态 。 正 礁 备 配置 组 件 
下 


Cw 


图 10-16 


(7) 配置 完成 后 ， 单 击 “ 下 一 步 ”按钮 ， 出 现 图 10-17 所 示 的 “完成 “Windows 组 件 
向 导 ” ”对 话 框 ， 最 后 单 击 “ 完 成 ”按钮 ， 至 此 ，Windows 组 件 安装 完成 。 


完成 “Windows 组 件 向 导 ” 


您 已 成 功 地 完成 了 “Windows 组 件 向 导 "”。 


请 单 击 “ 完 成 ”来 关闭 此 向 导 , 


Windows2ooo 


10.5.2 ”建立 并 安装 一 个 站 点 证 书 


建立 并 安装 一 个 站 点 证 书 需要 以 下 7 个 步骤 : 建立 虚拟 目录 , 建立 密 钥 对 和 证 书 请 求 ， 
向 证 书 授权 机 构 提交 证 书 请 求 文件 ， 证 书 服务 器 工具 ， 安 装 服务 器 证 书 ， 在 虚拟 服务 器 上 
允许 使 用 SSL 和 向 客户 浏览 器 中 增加 CA 证 书 。 


1. 建立 虚拟 目录 
在 此 虚拟 目录 下 放 Web 站 点 的 内 容 ， 本 操作 以 Di\tian 为 虚拟 目录 。 
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(1) 首先 打开 Intemet 信息 服务 ， 选择“ 开始 ”一 “管理 工具 ”一 “Internet 信息 服务 ” 
命令 ， 打 开 图 10-18 所 示 的 “Intemet 信息 服务 ”对 话 框 。 


图 10-18 


由 五 xind 
图 -六 > 默认 5MTP 虚拟 服务 器 
田 六 ?默认 NNTP 虚拟 服务 器 


10-19 


(3) 在 “默认 Web 站 点 ”处 右 击 ， 选 择 “ 新 建 ” 选 项 ， 可 以 建立 自己 的 Web 站 点 或 
虚拟 目录 ， 这 里 建立 虚拟 目录 ， 然 后 将 自己 Web 站 点 的 内 容 放 在 新 建 的 虚拟 的 主 目录 下 ， 
如 图 10-20 所 示 。 出 现 “虚拟 目录 创建 向 导 ” 对 话 框 ， 如 图 10-21 所 示 。 


10-20 


(4) 单 击 “ 下 一 步 ” 按 钮 ， 在 “虚拟 目录 别名 ”对 话 框 的 “别名 ”文本 框 中 输入 你 的 
别名 ， 如 图 10-22 所 示 。 
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| 
可 间作 用 “虚拟 目录 创建 向 
村 号 格 可 有 5 在 此 计算 机 上 自 奸 一 个 新 的 只 机 目 
单 击 “ 下 一 步 ” 继续 - 
ES 取消 


CEIHECTTHB 
虚拟 目录 别名 
必须 提供 虚拟 目录 一 个 简短 的 名 称 惑 别名, 用 来 快速 引用 。 


辆 入 用 于 磋 查 此 Wb 虚拟 目录 沪 问 权 限 的 别 各。 请 全 用 与 目录 一 衬 的 命名 规则 
别名 办 
Fa 


mm | 


图 10-22 


(5) 单 击 “下 一 步 ” 按 钮 ， 出 现 图 10-23 所 示 的 “Web 站 点 内 容 目录 ”对 话 框 ， 在 “ 目 
录 ” 文 本 框 中 输入 你 想 发 布 的 Web 站 点 的 路 径 或 通过 “浏览 ”按钮 来 查找 路 径 。 


- 
Yeb 站 点 内 容 目录 
您 想到 发 布 到 Web 站 点 上 的 内 容 在 哪里 ? 


辆 入 包 合 内 容 的 目录 跑 繁 。 
目录 四 ): 


-sw [FE 面相 山 


图 10-23 
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(6) 单 击 “ 下 一 步 ”按钮 ， 出 现 如 图 10-24 所 示 的 “访问 权限 ”对 话 框 。 在 此 对 话 框 
中 ， 可 对 此 虚拟 目录 设置 访问 权限 。 


EEEEETS 


访问 权限 
您 要 为 此 虚拟 目录 设置 什么 访问 权限 ? 


区 许 下 列 权限 

RR) 

灰 运行 脚本 (例如 ASP) G) 

厂 执行 (如 ISAPI 应 用 程序 或 CGT) 于 ) 


厂 写 K 
厂 训 览 四 ) 
单 击 “ 下 一 步 ” 完成 向 导 - 


< +- [TS WW 


图 10-24 


(7) 单 击 “ 下 一 步 ” 按 钮 ， 出 现 虚 拟 目 录 创 建 向 导 对 话 框 ， 单 击 “ 完 成 ”按钮 ， 如 
图 10-25 所 示 。 


单 击 “ 完 成 ”继续 


2. 建立 密 钥 对 和 证 书 请 求 


(1) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Intemet 服务 管理 器 ”命令 ， 出 现 
图 10-26 所 示 的 “Internet 信息 服务 ”对 话 框 。 


XE Internet 信息 服务 = 
] 扒 作 的， 坦 看 W || + 十 | 侧 | 困 | 区 | 区 | 明 | 下 | | 


时 *xeon-ig 是 


到 | 


图 10-26 


计算 机 网 络 安全 管理 (第 2 版 ) 
326 


(2) 双击 “计算 机 ”下 的 xeon-1g 选项 ， 在 “默认 Web 站 点 ”图 标 处 右 击 ， 选 择 “ 属 
性 ”选项 ， 如 图 10-27 所 示 。 


iles\system\msadc 
CHWProgram Fles\Common Fles\Microsoft Sharediweb Se... 


doy 


图 10-27 


(3) 出 现 “默认 Web 站 点 属性 ”对 话 框 ， 如 图 10-28 所 示 。 单 击 “ 目 录 安 全 性 ”选项 
卡 ， 出 现 图 10-29 所 示 的 对 话 框 。 


EE 


全 头 | 。 自 定义 错误 信息 。 | 服务 器 扩展 | 


SEE 
[ERFSR) 本 辣 OOa| 


图 10-28 


(4) 单 击 “ 服 务 器 证 书 ” 按 钮 ， 出 现 “欢迎 使 用 Web 服务 器 证 书 向 导 ” 对 话 框 ， 如 
10-30 所 示 。 


本 本 
Yeb 站 点 | 操作 员 | 性 能 ”| ISAFI 争夺 器 | 主 目录 | 文档 | 
目录 安全 性 ls TTP 头 | 。 自 定义 错误 信息 。 | 。 服务 器 扩展 


图 10-29 
划 
车 于 全 用 “Web 服务 器 证 书 向 
Er 
Web 服务 器 状态 
您 的 Yeb 服务 | 设 有 任何 挂 起 
的 请求 。 ee 和 E Yeb 必 锅 训 人 和 
新 的 证 书 或 附加 一 在 的 证 书 ， 
单 击 “ 下 一 步 ”继续 。 
DIE ww | 
图 10-30 
(5) 单 击 “ 下 一 步 ” 按 钮 ， 出 现 图 10-31 所 示 的 “服务 器 证 书 ” 对 话 框 ， 选 择 “ 创 建 


一 个 新 证 书 ” 单 选 按钮 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ， 选 择 “ 现 在 准备 请 求 ， 但 稍 候 发 送 ” 单 选 按钮 ， 如 图 10-32 
所 示 。 

(7) 单 击 “ 下 一 步 ”按钮 ， 在 图 10-33 所 示 的 “命名 和 安全 设置 ”对 话 框 中 对 新 证 书 
进行 命名 和 安全 设置 ， 这 里 均 采 用 默认 值 。 
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(8) 单 击 “ 下 一 步 ”按钮 ， 在 图 10-34 所 示 的 “组 织 信息 ”对 话 框 的 “组 织 ” 和 “组 
织 部 门 ”文本 框 中 输入 合法 的 名 称 。 


图 10-34 


(9) 单 击 “下 一 步 ”按钮 ， 在 图 10-35 所 示 的 “站 点 的 公用 名 称 ” 对 话 框 中 输入 站 点 
的 公用 名 称 。 


图 10-35 


(10) 单 击 “ 下 一 步 ” 按 钮 ， 在 图 10-36 所 示 的 “地 理 信息 ” 对 话 框 中 输入 证 书 的 地 理 
信息 。 
(11) 单 击 “下 一 步 ” 按 钮 ， 在 图 10-37 所 示 的 “证 书 请 求 文件 名 ”对 话 框 中 为 证 书 请 
求 输入 一 个 文件 名 。 


(12) 单 击 “ 下 一 步 ”按钮 ， 生 成 “请 求 文件 摘要 ”对 话 框 ， 如 图 10-38 所 示 。 
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图 10-37 


图 10-38 
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(13) 单 击 “ 下 一 步 ” 按 钮 ， 出 现 “完成 Web 服务 器 证 书 向 导 ” 对 话 框 ， 单 击 “ 完 成 ” 
按钮 ， 如 图 10-39 所 示 。 


115 证 书 向 时 | 
完成 Web 服务 器 证 书 向 导 


向导 。 一 个 i 
Se 


eveertreq txt 


人 所 必 构 ， 训 机 
月 动 访 向 的 服务 器 上 。 


要 查看 提供 微软 产品 服务 的 证 书 颁发 机 构 的 列表 
时 击 这 里 


车 要 关闭 向 导 ， 请 单 击 “ 完 成 ”。 


sv ww | 


图 10-39 


至 此 ， 完 成 了 Web 服务 器 证 书 请 求 。 新 建 的 证 书 请 求 文件 存放 在 C:\certreq.txt 中 ， 包 
含 新 的 加 密 过 的 证 书 请 求 字 符 串 ， 如 图 10-40 所 示 。 


局 certreq - 记事 本 [Djx 
文件 (E) 编辑 {E) 格式 (0) 帮助 (H) 

BEGIN NEW CERTIFICATE REQUEST 
MIICvjCCAngCAQAWaDEQMANGATUEAXMHeGUvbi x2zENMASGA1UECxMEam1keDEN 
IMASGA1UEChMEeHhqczEUMBIGA1UEBxMLc2hpamlhemh1YW4xEzARBgNUBAgTCmhl 
vmUpc2hlbmcxCzAJBINUBAYTAKNOMFwwDQY JKoZIhucNAQEBBQADSwAwSAJBAL/G 
sjJuQc1eTik*JriSU7utjjy3j2UcAlIBMuUnUdWd5DnsM69gnFUD7PKFgZPxBTRL 
tT7u7FYkeluTWw3KtAGCAwEAAaCCAZkwGgYKKwYBBAGCHNwOCAZEMF go1L jAuMjES 
INS4yMHSGCisGAQQBgijcCAQHxbTBrMAMGA1UdDwEB/wQEAwIESDBEBgkqhkiG9weB 
CQ8ENzn1MRAGCCqGSIb3DQMCngIRgDh0BggqhkiG9weDBRICRIRwBwYFKwhDhgcw 
cgyIKozIhuchawcwEwYDUR@1BhwwCgyYIKwYBBQUHAwEwgfeGCisGhQQBgjcNhgIx 
geuwgesChQEeWgBNRGkhYwByhG8SAcwBuhGYnhdhnhgnFIRUwBBhRChRhRUwBDhRGgnYQBu 
IAGhAZQBSACAAQwByAHKACABOAGS8AZwBYyAGEACABOAGKkAYwAgAFAACIBvAHYAaQBk 


AGUAcgOBiQBQv162uDWc9v1izq2Tw35H8AE3800L76HgPwyKwxqBuK97TtcRyWCS 
sYKZCSB3E1z*BuLne8NShpyIuUjhegBxmH97Di0E20zuYURAY13TpPHZSGBn12dc 
ioZomkF2rkpyJC8jAX 263DdyKLXJBBHwz6Kx4bGBz5KrnpHcSr xHAAAAAAAAAAA 
MA GGCSqeSIb3DQEBBQUAA GEAOB*BsRBbannDhAn0 Ja8oFyKDwqRLqSnyQUr Ss7hWy 
avQav3LQiaNMt 1r /GiZe+q2WkJeguLnshY Sf2UpUSBtZug== 

END NEW CERTIFICATE REQUEST 


图 10-40 


3. 向 证 书 授权 机 构 提交 证 书 请 求 文件 


在 完成 了 密 钥 对 和 请 求 文件 之 后 ， 需 要 从 一 个 可 信赖 的 第 三 方 机 构 请 求 服务 器 证 书 。 
具体 操作 步骤 如 下 。 
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(1) 在 下 浏览 器 “地 址 ”文本 框 输入 http://localhost/certsrv， 如 图 10-41 所 示 。 


欢迎 
您 使 用 此 WEb 站 点 为 您 的 Wcb 浏览 妖 ， 电 子 地 件 客户 误 ， 或 其它 安全 程序 申请 一 个 证 书 。 一 旦 您 获得 一 个 
证 书 ， 您 将 能 够 安全 地 向 Neb 上 的 其 他 人 标识 息 自 己 ， 为 电子 | 名 ， 加 密 电子 邮件 ， 以 及 其 它 ， 基 于 您 
申请 的 证 书 类 型 
选择 一 个 任务 : 

检索 CA 证 书 或 证 书 吊销 列表 

人 申请 证 书 

个 检查 挂 起 的 证 书 


加 
[BES 


图 10-41 


(2) 选择 申请 证 书 选项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 出 现 图 10-42 所 示 的 “选择 申请 
类 型 ”对 话 框 ， 单 击 “高 级 申请 ” 单 选 按钮 。 


选择 申请 类 型 
请 选择 您 要 进行 的 申请 类 型 : 
0 用 户 证 节 申请 ; 


图 10-42 


(3) 单 击 “ 下 一 步 ” 按 钮 ， 在 图 10-43 的 “高 级 证 书 申请 ”对 话 框 中 选择 第 二 项 “使 
用 base64 编码 的 PKCS#10 文件 提交 一 个 证 书 申请 , 或 使 用 base64 编码 的 PKCS #7 文件 更 
新 证 书 申请 。 
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高 级 证 书 申请 


您 可 以 用 下 列 方法 之 一 为 您 自己 ， 其 他 用 户 ， 或 计算 机 申请 一 个 证 书 。 请 注意 证 书 颁 发 机 构 (CA) 的 策略 将 决 
定 您 能 获得 的 证 书 。 


0 使 用 表格 问 这 个 CA 提交 一 个 证 书 申请 


. 茹 - PM PS 而 0 文件 提交 一 不 证 有 甲 请 ， 如 借用 base64 病 玛 的 PKCS 条 文件 更 新 证 物 


口 使 用 智能 卡 注册 站 为 代表 另 一 用 户 的 智能 卡 申 请 一 个 证 书 。 
克 几 黎 褒 一 个 法 名作 让 证 卉 代为 男 一 忆 户 所 安 一 个 的 二. 


图 10-43 


(4) 单 击 “ 下 一 步 ” 按 钮 ， 将 新 生成 的 Ci\certreq.tet 在 记事 本 中 打开 ， 将 请 求 文件 的 
内 容 用 Ctrl+C 组 合 键 复制 到 剪贴 板 上 , 然后 粘贴 到 图 10-44 所 示 的 “提交 一 个 保存 的 申请 ” 
对 话 框 的 “保存 的 申请 ”文本 框 中 。 


贴 一 个 base64 编码 的 PKCS 机 0 hdl web 浏览 器 ) 生 成 的 FECS #7 更 新 申请 
i 个 申请 到 证 书 颁 发 机 构 (CA) 


保存 的 申请 ; 


[>YFzcaB3E1z+BwLmneGNShPpyIuUJh0gBxmH97DiCE， 
92omkF Zr kpyJCeIAXO2 G3 DayKLXJ BBW Rx AbG 
Base6d 编码 |MA0GCSqGs Ib3DOEB30UAAOEAOB+BsRBbannDhAnO 
证 书 电 请 |aYaavsLQsaNEelz/532e+q2VkJeguLmahYst20PU 
(FkCS 机 0 或 要 ); |-----END NEW CERTIFICATE REQVEST-—-—— 


8 要 插入 的 文件 。 
附加 属性 : 


(5) 单 击 “ 提 交 ” 按 钮 ， 出 现 图 10-45 所 示 的 “证 书 挂 起 ”对 话 框 ， 表 明证 书 已 经 收 
到 ， 等 待 证 书 授权 机 构 批准 。 
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证 书 挂 起 

您 的 证 书 钻 请 已 经 收 到 。 不 过 ， 您 必须 等 符 管 理 员 发 布 您 申请 的 证 书 。 
请 在 一 天 或 两 天 内 回 到 此 web 站 点 以 检索 您 的 证 书 。 

注意 : 你 必须 用 此 web 浏览 烽 在 10 天 内 运 回 以 检索 您 的 证 书 


4. 证 书 服务 器 工具 


(1) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “证 书 和 颁发 机 构 ” 命 令 ， 出 现 图 10-46 
所 示 的 证 书 颁 发 机 构 对 话 框 。 


EEC 


[el ES 
J+»| 写 mlBDBIB| nm | 
: 一 


10-46 
(2) 双击 xxjs， 在 此 root 授权 机 构 下 有 4 个 选项 ， 如 图 10-47 所 示 。 


。 吊销 的 证 书 : 包含 所 有 被 发 布 又 被 撤销 的 证 书 。 
。 颁发 的 证 书 : 包含 所 有 被 批准 并 颁发 的 证 书 。 
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图 10-47 


。 待定 申请 : 包含 了 所 有 等 待 root 授权 机 构 批准 的 证 书 请 求 。 

。 不 成 功 的 申请 : 包含 了 所 有 被 拒绝 的 证 书 请 求 。 

(3) 选择 第 三 项 “待定 申请 ” 如 图 10-48 所 示 ， 在 右 窗口 可 以 看 到 所 提交 的 证 书 请 求 
文件 。 


图 10-48 


(4) 在 申请 的 证 书 处 右 击 , 选择 “所 有 任务 ”选项 , 然后 选择 “颁发 ”选项 , 如 图 10-49 
所 示 。 
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图 10-49 


(5) 单 击 “ 颁 发 证 书 ” 选 项 ， 在 图 10-50 中 可 以 看 到 ， 证 书 请 求 已 经 被 批准 颁发 了 。 


10-50 


5. 安装 服务 器 证 书 


接 下 来 将 在 安装 了 证 书 服务 的 计算 机 上 安装 服务 器 证 书 。 

(1) 在 下 的“ 地址 ”文本 框 中 输入 http://localhost/certsrv/， 打 开 图 10-51 所 示 “ 欢 迎 ” 
对 话 框 ， 选 择 第 三 项 “检查 挂 起 的 证 书 ” 单 选 按钮 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ， 出 现 图 10-52 所 示 的 “检查 挂 起 的 证 书 申 请 ”对 话 框 。 
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日。 下 E29 | 
| +RE -十 -全 引信 必 TBT 
ikea [€] to Mocarorteantes PEceI 


Pag Web 站 点 为 您 的 Web 浏览 器 ， 电 子 邮 件 客户 端 ， 或 其 它 安 全 程序 申请 一 个 证 书 。 一 曰 盗 获得 一 
地 六 Web 上 的 其 他 人 标识 您 自己 ， 为 电 于 邮件 签名 ， 加 客 电 子 邮 御 ， 以 及 其 它 ， Ey 


选择 一 个 任务 : 
PC CA 证 书 蕊 证 书 吊 销 列表 
人 申请 证 节 
ns 
Fp>» 
到 
LE 厂矿 压 到 we 
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EE 0 TAD NAD EE 
| | 网- 悦 加 日 国 
的 证 书 
请 闪 择 你 要 检查 的 证 书 申请 : 
下 一 为 》 
| 
出; 厂矿 区 Br 


10-52 


(3) 单 击 “ 下 一 步 ”按钮 ， 出 现 图 10-53 所 示 的 “证 书 已 发 布 ”对 话 杠 ， 选择“Base64 
编码 ” 单 选 按钮 ， 并 单 击 “ 下 载 CA 证 书 ” 链 接 按钮 ， 出 现 “ 文 件 下 载 ” 对 话 框 ， 如 图 10-54 
所 示 。 

(4) 单 击 “ 确 定 ” 按 钮 ， 出 现 图 10-55 所 示 的 “另存 为 ”对 话 框 ， 把 certnew.cer 保存 
在 CN\ 下 ， 单 击 “ 保 存 ” 按 钮 。 

(5) 下 面 开始 安装 服务 器 证 书 。 打 开 Intemet 服务 管理 器 ， 在 “默认 Web 站 点 ”处 右 
击 ， 选 择 “ 属 性 ”选项 ， 然 后 单 击 “ 目 录 安 全 性 ”选项 卡 ， 如 图 10-56 所 示 。 
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您 申请 的 证 书 已 发 布 缩 您 。 
CDER 护 码 或 “Base 56 可 三 


文件 下 载 
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EYEEr 2 
rob 站 点 | 撞 作 员 | 性 能 | TSMET 庆 器 | 主 上 录 | 文 和 
目录 安全 性 。 | TP 头 | 。 目 定义 二 误 信息 。 | 。 服务 吕 扩 展 
- 匡 各 访问 入 证 近 制 
人 3saamEsnmzaaa a | 
| 芋 地 址 及 域名 限制 
车 霹 Internet 域名 来 
6 EE 
amD | 
2 
此 ET 
3 盯 刁 江 | 
编辑 Q) | 


mw | ma | maw | wh | 


图 10-56 
(6) 单 击 “ 服 务 器 证 书 ” 按 钮 ， 出 现 图 10-57 所 示 的 “欢迎 使 用 Web 服务 器 证 书 向 导 ” 
对 话 框 。 
欢迎 使 用 web 服务 器 证 书 向 导 - 可 


于 和 使 用 “Wob 服务 器 证 书 向 


此 疝 导 和 帮助 您 在 服务 器 和 客户 凋 之 间 自 隆 和 管理 用 于 安 
全 Web 通信 的 服务 器 证 书 。 


Yeb 服务 器 状态 


a 


单 击 “ 下 一 步 ” 继续 。 


sv ww 


图 10-57 


(7) 单 击 “ 下 一 步 ” 按 钮 ， 出 现 图 10-58 所 示 的 “处 理 挂 起 的 请 求 ” 对 话 框 。 
(8) 单 击 “ 下 一 步 ”按钮 ， 出 现 “ 证 书 摘要 ”对 话 框 ， 如 图 10-59 所 示 。 


计算 机 网 络 安全 管理 (第 2 版 ) 
340 


图 10-59 


(9) 单 击 “ 下 一 步 ”按钮 ， 出 现 “ 证 书 注册 ”提示 对 话 框 ， 如 图 10-60 所 示 。 


图 10-60 


(10) 单 击 “ 是 ”按钮 ， 出 现 “ 完 成 Web 服务 器 证 书 向 导 ” 对 话 框 ， 单 击 “ 完 成 ” 按 
钮 ， 如 图 10-61 所 示 完 成 了 证 书 的 安装 。 
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TIS 证书 向 导 


ed| 
完成 Web 服务 器 证 书 向 导 


息 已 成 功 完成 了 Web 服务 器 证 书 向 导 。 
现在 一 个 证 书 已 被 安装 到 此 服务 器 上 。 


乱 如 格 来 座 乞 要 更 新 ， 苦 换 ， 或 是 量 有 这 个 新 证 
书 , 可 以 再 使 用 向 导 。 


车 要 关闭 向 导 ， 请 单 击 “ 完 成 ”。 


6. 在 站 点 上 人 允许 使 用 SSL 


(1) 打开 Internet 服务 管理 器 ， 在 “默认 站 点 ”上 右 击 ， 选 择 “ 属 性 ”选项 ， 出 现 
图 10-62 所 示 的 “默认 Web 站 点 属性 ”对 话 框 ，SSL 端口 号 默认 分 配 为 443。 


可 可 
目录 安全 性 “| ”ITP 头 ”| 。 自 定义 错误 信息 。 | 。 服务 器 扩展 
Web 站 点 | 操作 员 | 性 能 ”| ISAPI 第 兴 器 | 主 目录 | 文档 | 
eb 站 点 标识 
说 明 G): [ET 
于 地 址 WD):; [全 3E) 可 高 圾 


TCP 端口 中: | SSL 端口 QD): 443 
6 ERY 

个 限制 到 中 : 000 连接 
连接 超时 四 - 0 起 


人 局 用 保持 JITF 激活 八 ) 


记 f 启用 日 志 记 录 加 
活动 日 志 格 式 四 
rsc 元 6 志文 区 。” ”可 属性 中 | 


图 10-62 


(2) 单 击 “ 目 录 安 全 性 ”选项 卡 ， 如 图 10-63 所 示 。 
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图 10-63 


(3) 单 击 “ 安 全 通信 ”选项 区 域 中 的 “编辑 ”按钮 ， 出 现 图 10-64 所 示 的 “安全 通信 ” 
对 话 框 。 


(4) 在 “安全 通信 ”对 话 框 中 ， 选 中 “申请 安全 通道 (SSL)” 复 选 框 。 同 时 也 可 以 选 
择 申请 128 位 加 密 。 另 外 的 “客户 证 书 ” 选 项 和 “启用 客户 证 书 映 射 ” 选 项 可 以 按 自 身 的 
要 求 进行 选择 ， 这 里 采用 默认 值 ， 如 图 10-65 所 示 。 
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图 10-65 


(5) 单 击 “ 确 定 ” 按 钮 ， 返 回 图 10-66 所 示 的 对 话 框 ， 再 单 击 “ 确 定 ” 按 钮 即 可 。 


7. 向 客户 浏览 器 的 Root 仓库 中 增加 CA 证 书 


在 浏览 器 和 Web 站 点 之 间 开 始 SSL 通信 之 前 ， 客 户 端 必须 能 够 认 出 服务 器 的 证 书 是 
合法 的 。 客 户 端 必 须 和 服务 器 的 证 书 授权 机 构 取得 联系 。 我 们 的 客户 端 是 IE 5.0。 

(1) 在 下 的“ 地址 ”文本 框 中 输入 Web 站 点 的 地 址 ， 出 现 图 10-67 所 示 的 “安全 警 
报 ” 提 示 对 话 框 ， 确 定 以 后 是 否 要 显示 该 警告 。 
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图 10-67 


(2) 单 击 “确定 ”按钮 ， 出 现 “安全 警报 ”对 话 框 ， 如 图 10-68 所 示 。 


图 10-68 


(3) 单 击 “ 查 看 证 书 ” 按 钮 ， 出 现 图 10-69 所 示 的 “证 书 ” 对 话 框 。 


颁发 给 : xeorrle 


绍 发 者 : ”xxjs 


有 效 期 起 始 日 期 2002-9-1 到 2003-9-1 


图 10-69 
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(4) 单 击 “安装 证 书 ” 按 钮 ， 出 现 图 10-70 所 示 的 “欢迎 使 用 证 书 导 入 向 导 ” 对 话 框 。 


图 10-70 


(5) 单 击 “ 下 一 步 ”按钮 ， 出 现 图 10-71 所 示 的 证 书 导 入 向 导 的 “证 书 存储 ”对 话 框 。 


10-71 


(6) 单 击 “ 下 一 步 ”按钮 ， 出 现 “ 正 在 完成 证 书 导 入 向 导 ” 对 话 框 ， 单 击 “ 完 成 ” 按 
钮 ， 如 图 10-72 所 示 ， 完 成 CA 证 书 安装 。 

(7) 返回 图 10-68 所 示 的 对 话 框 ， 单 击 “ 是 ”按钮 ， 将 以 安全 通信 的 方式 打开 此 站 点 。 
进入 这 个 安全 网 页 , 在 正 的 状态 栏 里 应 该 有 一 个 小 锁 , 双击 这 个 小 锁 就 能 看 到 你 的 站 点 证 
书信 息 ， 同 时 也 能 看 到 整个 证 书 链 。 
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证 书 导入 稍 导 可 
正在 完成 证 书 导 入 向 导 


悠 已 成 功 地 充 成 证 书 导入 向 导 , 


图 10-72 


注意 : 可 以 将 自己 建立 的 网 站 复制 到 某 一 虚拟 目录 中 ， 然 后 使 自己 的 站 点 成 为 一 个 安 


全 站 点 。 


读者 意见 反馈 


亲爱 的 读者 : 

感谢 您 一 直 以 来 对 清华 版 计算 机 教材 的 支持 和 爱护 。 为 了 今后 为 您 提供 更 优秀 的 教 
材 ， 请 您 抽出 宝贵 的 时 间 来 填写 下 面 的 意见 反馈 表 ， 以 便 我 们 更 好 地 对 本 教材 做 进一步 
改进 。 同 时 如 果 您 在 使 用 本 教材 的 过 程 中 遇 到 了 什么 问题 ， 或 者 有 什么 好 的 建议 ， 也 请 


您 来 信 告 诉 我 们 。 
地 址 : 北京 市 海淀 区 双 清 路 学 研 大 厦 A 座 602 室 计算 机 与 信息 分 社 营销 室 收 
邮编 : 100084 电子 邮件 : jsjjc@tup.tsinghua.edu.cn 


电话 : 010-62770175-4608/4409 ”邮购 电话 : 010-62786544 


教材 名 称 : 计算 机 网 络 安全 管理 (第 2 版 ) 
ISBN: 978-7-302-17066-2 


个 人 资料 

姓名 : 年 龄 : 所 在 院 校 /专业 : 

文化 程度 : 。 通信 地 址 : 
联系 电话 : 电子 信箱 : 
您 使 用 本 书 是 作为 : 口 指定 教材 口 选 用 教材 口 辅导 教材 口 自学 教材 
车 于 划 四 计 囊 的 村 起 

很 满意 口 满意 不 满意 ”改进 建议 
本 人 的 

很 满意 口 满意 不 满意 ”改进 建议 

外 对 本 世 的 站 体 清 意 度 ， 

从 语言 质量 角度 看 ” 口 很 满意 口 满意 口 一 般 口 不 满意 
从 科技 含量 角度 看 “” 口 很 满意 口 满意 口 一 般 口 不 满意 


本 书 最 令 您 满意 的 是 : 
指导 明确 口内 容 充实 口 讲解 详尽 口 实例 丰富 
您 认为 本 书 在 哪些 地 方 应 进行 修改 ?7 (可 附 页 》 


您 希望 本 书 在 哪些 方面 进行 改进 ? (可 附 页 》 


电子 教案 支持 


敬爱 的 教师 : 

为 了 配合 本 课程 的 教学 需要 ， 本 教材 配 有 配套 的 电子 教案 (素材 )， 有 需求 的 教师 
可 以 与 我 们 联系 , 我 们 将 向 使 用 本 教材 进行 教学 的 教师 免费 赠送 电子 教案 (素材 ), 希望 
有 助 于 教学 活动 的 开展 。 相 关 信 息 请 拨打 电话 010-62776969 或 发 送 电 子 邮 件 至 
jsjjc@tup.tsinghua.edu.cn 咨询 ， 也 可 以 到 清华 大 学 出 版 社 主页 (http://www.tup.com.cn 或 
http://www.tup.tsinghua.edu.cn) 上 查询 。 


“高 等 学 校 教材 计算 机 应 用 ”系列 书目 


书 名 
C++ 语言 程序 设计 教程 与 实验 
CAD 二 次 开发 及 其 工程 应 用 
C 程序 设计 案例 教程 
Delphi 程序 设计 教程 
Excel 在 数据 管理 与 分 析 中 的 应 用 
Internet 应 用 基础 教程 
Internet 实用 技术 与 网 页 制作 
Java 2 程序 设计 基础 
Java 程序 设计 之 网 络 编程 
PowerBuilder 数据 库 应 用 开发 技术 
Protel 电路 设计 教程 (第 2 版) 
SolidWorks 及 Cosmos/Motion 机 械 仿 真 设计 
SPSS 统计 分 析 实例 精 选 
Visual Basic 语言 程序 设计 教程 与 实验 
Visual Basic 程序 设计 与 应 用 开发 案例 教程 
Visual Basic 程序 设计 综合 教程 
Visual C++ 程序 设计 一 一 基础 与 实例 分 析 
Visual FoxPro 8.0 实用 教程 
Visual FoxPro 程序 设计 
Visual FoxPro 程序 设计 基础 
Visual FoxPro 程序 设计 实验 与 学 习 指导 
Visual FoxPro 数据 库 基础 教程 
Visual FoxPro 数据 库 应 用 教程 与 实验 
Web 技术 导论 
Windows 程序 设计 技术 
办 公 自 动 化 概论 
操作 系统 教程 与 实验 
操作 系统 实验 教程 《Windows 版 ) 


单片机 原理 、 接 口 及 应 用 一 一 嵌入 式 系统 技术 基础 


电子 档案 管理 基础 

多 媒体 技术 毕业 设计 指导 与 案例 分 析 
多 维 数据 分 析 原理 与 应 用 
计算 机 辅助 设计 教程 
计算 机 控制 技术 

计算 机 外 围 设备 

计算 机 网 络 技术 基础 教程 

计算 机 网 络 技术 及 应 用 教程 

计算 机 网 络 技术 教程 一 一 基础 理论 与 实践 
计算 机 网 络 教程 

计算 机 网 络 实用 技术 教程 
计算 机 网 络 与 通信 


作 者 
温 秀 梅 等 
王 育 琨 等 
王岳 斌 等 
杨 长 春 等 
杜 茂 康 
徐 详 征 等 
孙 芳 等 
陈 国 君 等 
李 芝 兴 等 
卢 守 东 
江 思 敏 等 
张 晋 西 
周 爽 
丁 学 钧 等 
曾 强 聪 
朱 从 旭 等 
朱 晴 婷 等 
李 明 等 
程 学 先 等 
余 坚 
余 坚 
姜 桂 洪 等 
徐 辉 等 
郝 兴 伟 
刘 腾 红 等 


张 钧 良 


JSBN 号 
9787302081432 
2007 年 12 月 出 版 
9787302136798 
9787302112136 
9787302104001 
9787302084945 
9787302112211 
9787302120551 
9787302123224 
9787302127291 
9787302134879 
9787302140559 
9787302124344 
9787302105671 
9787302091349 
9787302104322 
9787302081449 
9787302123125 
9787302129967 
9787302133216 
9787302133629 
9787302132509 
9787302098560 
9787302101185 
9787302095453 
9787302088530 
9787302137511 
9787302102519 
9787302101802 
9787302124542 
9787302102526 
9787302083771 
9787302101178 
9787302107910 
9787302100881 
9787302082057 
9787302143338 
9787302080732 
9787302120193 
9787302140108 
9787302118619 


计算 机 网 络 与 应 用 

计算 机 维修 技术 

计算 机 信息 技术 应 用 基础 

计算 机 信息 技术 应 用 教程 
计算 机 应 用 基础 

计算 机 应 用 技术 基础 

计算 机 应 用 技术 学 习 指 导 与 实验 教程 一 一 例题 精 解 与 练习 、 上 机 实践 
计算 机 英语 实用 教程 
计算 机 硬件 技术 基础 

计算 机 与 网 络 应 用 基础 教程 

建筑 CAD 技术 应 用 教程 

局 域 网 技术 与 应 用 

局 域 网 与 城 域 网 技术 

科技 情报 检索 

面向 对 象 程序 设计 Visual C++ 6.0 教程 题解 与 实验 指导 
面向 对 象 程序 设计 与 Visual C++ 6.0 教程 
面向 对 象 技术 与 Visual C++ 

面向 对 象 技术 与 Visual C++ 学 习 指 导 
软件 技术 基础 教程 

实用 计算 机 技术 一 一 公安 司法 应 用 实践 
数据 结构 一 一 C++ 语言 描述 
数据 库 及 其 应 用 

数据 库 及 其 应 用 学 习 与 实验 指导 教程 
数据 库 系统 及 应 用 〈Visaul FoxPro) 第 二 版 
数据 库 系统 及 应 用 (visual ForPro) 
数据 库 与 网 络 技术 

数据 通信 与 网 络 应 用 

统计 分 析 方 法 一 一 SAS 实例 精 选 

图 形 图 像 处 理应 用 教程 

网 络 工程 规划 与 设计 

网 络 基 础 与 应 用 实务 教程 

网 络 医学 信息 应 用 

网 络 远程 教学 技术 基础 〈 含 上 机 指导 ) 

网 络 远程 教学 资源 设计 开发 (化 学 ) 

网 页 设计 教程 

网 站 建设 一 一 基于 Windows Server2003 和 Linux 9 
微机 组 装 与 维护 

信息 检索 

运筹 学 算法 与 编程 实践 一 一 Delphi 实现 
中 文 信息 处 理 技术 一 一 原理 与 应 用 


ISBN 号 
9787302104926 
9787302110453 
9787302082392 
9787302109341 
9787302112563 
9787302132608 
9787302133155 
9787302090731 
9787302119715 
9787302086307 
9787302091929 
9787302087571 
9787302140696 
9787302089070 
9787302133735 
9787302123118 
9787302090700 
9787302123231 
9787302116981 
9787302133766 
9787302142157 
9787302140757 
9787302104728 
9787302142966 
9787302086253 
9787302124962 
9787302128649 
9787302091295 
9787302124795 
9787302143086 
9787302124300 
9787302142690 
9787302115595 
9787302150848 
9787302091875 
9787302101819 
9787302103417 
9787302120513 
9787302093619 
9787302112006 


